OAuth 2.0 All In One

授权类型

授权代码

隐式

密码凭证

客户端凭证

授权码

授权码授予类型要求用户向提供者进行身份验证-然后将授权码发送回客户端应用程序,提取并与提供者交换以获取访问令牌以认证后续请求。

要使用授权码授予类型,请输入客户端应用程序的回调URL(应在API提供商处注册),以及API服务提供的各种详细信息,包括Auth URL,访问令牌URL,Client ID和Client Secret。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

授权码(带PKCE)

您可以将PKCE(代码交换证明密钥)与OAuth 2.0结合使用。选择授权代码(使用PKCE)时,两个其他字段将变为“代码质询方法”和“代码验证者”可用。您可以选择使用SHA-256或Plain算法来生成代码挑战。验证程序是一个可选的43-128字符串,用于将授权请求连接到令牌请求。

建议将授权代码(带有PKCE)授予类型与使用浏览器进行授权一起使用,以防止身份验证代码拦截攻击。

隐含的

隐式授予类型立即将访问令牌返回到客户端,而无需执行额外的身份验证代码步骤(因此安全性较低)。

要将隐式授予类型用于Postman中的请求,请输入您已向API提供程序注册的回调URL,提供程序Auth URL以及已注册应用程序的客户端ID。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

密码凭证

OAuth 2.0密码授予类型涉及直接从客户端发送用户名和密码,因此,如果您要处理第三方数据,则不建议使用。

要使用密码授予类型,请输入API提供者的访问令牌URL以及用户名和密码。在某些情况下,您还需要提供客户端ID和密码。

客户凭证

客户端凭据授予类型通常不用于访问用户数据,而是用于与客户端应用程序关联的数据。

输入提供商的访问令牌URL以及您注册的应用程序的客户端ID和客户端密钥。

请求OAuth 2.0令牌

请求新访问令牌的参数的完整列表如下,具体取决于您的授予类型:

令牌名称:您要用于令牌的名称。

授予类型:选项的下拉列表-这将取决于API服务提供商的要求。

回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,则Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果这不适用于您的API,则可以使用以下URL:

https://www.postman.com/oauth2/callback

使用浏览器进行授权:您可以选择在网络浏览器中输入凭据,而不是使用授权代码或隐式授予类型时默认情况下出现在Postman中的弹出窗口。选中此框会将回调URL设置为返回邮递员。

身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。

访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。

客户端ID:您在API提供程序中注册的客户端应用程序的ID。

客户端机密: API提供商提供给您的客户端机密。

范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。

状态:不透明的值,以防止跨站点请求伪造。

客户端身份验证:下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。

配置完成后,点击请求令牌。

当您使用授权代码或隐式授予类型时,系统将提示您提供凭据以检索要在后续请求中使用的访问令牌。默认情况下,当您单击Request Token时,Postman将显示一个弹出浏览器。您也可以选择使用系统的默认Web浏览器进行身份验证。选择授权使用的浏览器和回调URL会自动填充,当你已经完成了在浏览器中AUTH返回邮差,让您的请求可以使用令牌在认证成功返回。

如果您成功地从API接收到令牌,则将看到其详细信息,到期时间以及可选的刷新令牌,当当前令牌过期时,可以使用该令牌来检索新的访问令牌。单击“使用令牌”以选择返回的值。

任何成功检索的令牌都将在请求“可用令牌”下拉列表中列出。选择一个与您的请求一起发送。在下拉列表中选择管理令牌以查看更多详细信息或删除您的令牌。

如果验证失败或超时,邮递员将显示错误消息。您可以在控制台中检查错误详细信息,重试尝试再次进行身份验证,或在继续之前编辑您的身份验证详细信息。

在Postman中删除令牌不会撤消访问权限。只有发出令牌的服务器才能撤销它。

refs

https://learning.postman.com/docs/sending-requests/authorization/#bearer-token

xgqfrms 2012-2020

www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!

OAuth 2.0 All In One的更多相关文章

  1. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  2. 简述 OAuth 2.0 的运作流程

    本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程. 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时 ...

  3. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  4. [转]An introduction to OAuth 2.0 using Facebook in ASP.NET Core

    本文转自:http://andrewlock.net/an-introduction-to-oauth-2-using-facebook-in-asp-net-core/ This is the ne ...

  5. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  6. oAuth 2.0 笔记

    OAuth 2.0规范于2012年发布,很多大型互联网公司(比如:微信.微博.支付宝)对外提供的SDK中,授权部分基本上都是按这个规范来实现的. OAuth 2.0提供了4种基本的标准授权流程,最为复 ...

  7. 理解OAuth 2.0

    转自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛 ...

  8. 谈谈基于OAuth 2.0的第三方认证 [下篇]

    从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的 ...

  9. 谈谈基于OAuth 2.0的第三方认证 [中篇]

    虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者 ...

  10. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

随机推荐

  1. Linux top命令里面%CPU和cpu(s)的差别

    有的同学会把%CPU和us%搞晕,也就是下图所示在top的时候查看cpu的信息. 这时有的同学会问:这两个CPU到底哪个是对的. 其实都是对的,只是表达的意思不一样. 官方解释如下 Cpu(s):34 ...

  2. jackson学习之四:WRAP_ROOT_VALUE(root对象)

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  3. mdns

    mdns mdns_百度百科 https://baike.baidu.com/item/mdns 在计算机网络中 , 多播DNS ( mDNS )协议将主机名解析为不包含本地名称服务器的小型网络中的I ...

  4. spring 之7种重要设计模式

    Spring中涉及的设计模式总结 1.简单工厂(非23种设计模式中的一种) 实现方式: BeanFactory.Spring中的BeanFactory就是简单工厂模式的体现,根据传入一个唯一的标识来获 ...

  5. JAVA中两个int类型的变量在不借助第三个变量的情况下完成值的互换

    在面试中被问到这个问题,想到两种解决方式,在此分享一下. 第一种,使用简单的数学运算达到目标(但是面试官往往会问你还有没有其他方式): public static void main(String[] ...

  6. 《CSP.OI吟》

    吟 CSP·OI 这个LCT,我听得很懵逼 在 Splay 里面,好像有重链 不用线段树,Splay 来维护 树的形态有改变,不只是那一条边 所以要把整棵树,重新剖一遍 什么重链 ~ 什么轻边 ~ 什 ...

  7. P5518 [MtOI2019]幽灵乐团 / 莫比乌斯反演基础练习题

    瞎扯 建议在阅读题解之前欣赏这首由普莉兹姆利巴姐妹带来的的合奏. Q:你参加省选吗?不是说好了考完 NOIP 就退吗. A:对啊. Q:那你学这玩意干啥? A:对啊,我学这玩意干啥? 写这题的动机? ...

  8. 正则表达式获取字符串的input标签的属性值

    直接上正则表达式: (?<=\<input.*value=\").*?(?=\") 字符串如下: <form action="https://www.b ...

  9. toggle() 隐藏和收缩

    <!DOCTYPE html><html><head><script src="/jquery/jquery-1.11.1.min.js" ...

  10. Pytest(4)失败重跑插件pytest-rerunfailures

    安装: pip3 install pytest-rerunfailures 重新运行所有失败用例 要重新运行所有测试失败的用例,请使用--reruns命令行选项,并指定要运行测试的最大次数: $ py ...