OAuth 2.0 All In One

授权类型

授权代码

隐式

密码凭证

客户端凭证

授权码

授权码授予类型要求用户向提供者进行身份验证-然后将授权码发送回客户端应用程序,提取并与提供者交换以获取访问令牌以认证后续请求。

要使用授权码授予类型,请输入客户端应用程序的回调URL(应在API提供商处注册),以及API服务提供的各种详细信息,包括Auth URL,访问令牌URL,Client ID和Client Secret。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

授权码(带PKCE)

您可以将PKCE(代码交换证明密钥)与OAuth 2.0结合使用。选择授权代码(使用PKCE)时,两个其他字段将变为“代码质询方法”和“代码验证者”可用。您可以选择使用SHA-256或Plain算法来生成代码挑战。验证程序是一个可选的43-128字符串,用于将授权请求连接到令牌请求。

建议将授权代码(带有PKCE)授予类型与使用浏览器进行授权一起使用,以防止身份验证代码拦截攻击。

隐含的

隐式授予类型立即将访问令牌返回到客户端,而无需执行额外的身份验证代码步骤(因此安全性较低)。

要将隐式授予类型用于Postman中的请求,请输入您已向API提供程序注册的回调URL,提供程序Auth URL以及已注册应用程序的客户端ID。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

密码凭证

OAuth 2.0密码授予类型涉及直接从客户端发送用户名和密码,因此,如果您要处理第三方数据,则不建议使用。

要使用密码授予类型,请输入API提供者的访问令牌URL以及用户名和密码。在某些情况下,您还需要提供客户端ID和密码。

客户凭证

客户端凭据授予类型通常不用于访问用户数据,而是用于与客户端应用程序关联的数据。

输入提供商的访问令牌URL以及您注册的应用程序的客户端ID和客户端密钥。

请求OAuth 2.0令牌

请求新访问令牌的参数的完整列表如下,具体取决于您的授予类型:

令牌名称:您要用于令牌的名称。

授予类型:选项的下拉列表-这将取决于API服务提供商的要求。

回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,则Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果这不适用于您的API,则可以使用以下URL:

https://www.postman.com/oauth2/callback

使用浏览器进行授权:您可以选择在网络浏览器中输入凭据,而不是使用授权代码或隐式授予类型时默认情况下出现在Postman中的弹出窗口。选中此框会将回调URL设置为返回邮递员。

身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。

访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。

客户端ID:您在API提供程序中注册的客户端应用程序的ID。

客户端机密: API提供商提供给您的客户端机密。

范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。

状态:不透明的值,以防止跨站点请求伪造。

客户端身份验证:下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。

配置完成后,点击请求令牌。

当您使用授权代码或隐式授予类型时,系统将提示您提供凭据以检索要在后续请求中使用的访问令牌。默认情况下,当您单击Request Token时,Postman将显示一个弹出浏览器。您也可以选择使用系统的默认Web浏览器进行身份验证。选择授权使用的浏览器和回调URL会自动填充,当你已经完成了在浏览器中AUTH返回邮差,让您的请求可以使用令牌在认证成功返回。

如果您成功地从API接收到令牌,则将看到其详细信息,到期时间以及可选的刷新令牌,当当前令牌过期时,可以使用该令牌来检索新的访问令牌。单击“使用令牌”以选择返回的值。

任何成功检索的令牌都将在请求“可用令牌”下拉列表中列出。选择一个与您的请求一起发送。在下拉列表中选择管理令牌以查看更多详细信息或删除您的令牌。

如果验证失败或超时,邮递员将显示错误消息。您可以在控制台中检查错误详细信息,重试尝试再次进行身份验证,或在继续之前编辑您的身份验证详细信息。

在Postman中删除令牌不会撤消访问权限。只有发出令牌的服务器才能撤销它。

refs

https://learning.postman.com/docs/sending-requests/authorization/#bearer-token

xgqfrms 2012-2020

www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!

OAuth 2.0 All In One的更多相关文章

  1. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  2. 简述 OAuth 2.0 的运作流程

    本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程. 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时 ...

  3. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  4. [转]An introduction to OAuth 2.0 using Facebook in ASP.NET Core

    本文转自:http://andrewlock.net/an-introduction-to-oauth-2-using-facebook-in-asp-net-core/ This is the ne ...

  5. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  6. oAuth 2.0 笔记

    OAuth 2.0规范于2012年发布,很多大型互联网公司(比如:微信.微博.支付宝)对外提供的SDK中,授权部分基本上都是按这个规范来实现的. OAuth 2.0提供了4种基本的标准授权流程,最为复 ...

  7. 理解OAuth 2.0

    转自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛 ...

  8. 谈谈基于OAuth 2.0的第三方认证 [下篇]

    从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的 ...

  9. 谈谈基于OAuth 2.0的第三方认证 [中篇]

    虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者 ...

  10. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

随机推荐

  1. Vue3 源码之 reactivity

    注: 为了直观的看到 Vue3 的实现逻辑, 本文移除了边缘情况处理.兼容处理.DEV环境的特殊逻辑等, 只保留了核心逻辑 vue-next/reactivity 实现了 Vue3 的响应性, rea ...

  2. jdk安装简洁版

    一.jdk是what? jdk其实是个软件语言开发包,包含了JAVA的运行环境(JVM+Java系统类库)和JAVA工具. 没有JDK的话,无法编译Java程序(指java源码.java文件),如果想 ...

  3. 用Jenkins构建Django持续集成环境

    用Jenkins构建Django持续集成环境 - V2EX https://www.v2ex.com/t/32054

  4. java 本地方法(JNI)

    最近搞了一个调用第三方so库做登录认证的任务,以前对JNI没什么概念,最近学习了 <java核心技术> 本地方法 一章,把自己写的一些例子记录一下. 自己C语言真是渣渣,所以所有的例子都在 ...

  5. 浅析 record 使用场景

    浅析 record 使用场景 Intro 之前我们有介绍过 record 基本知识,record 会实现基于值的类型比较,最近遇到的几个问题觉得用 record 来解决会非常方便,分享一下 基于值的类 ...

  6. xftp 提示无法显示远程文件夹

    在用xftp远程服务器,打开文件夹的时候一直提示"无法显示远程文件夹" 解决方案: 1.网上大多解决方案是文件->属性->选项->将使用被动模式选项去掉即可 2. ...

  7. XCTF-你是谁

    前期工作 查壳,无.运行 不知道有啥用,迷宫题? 逆向分析 文件结构 查看了一下主要逻辑在background中,因为MainActivity的setContentView是background.ba ...

  8. redis学习教程三《发送订阅、事务、连接》

    redis学习教程三<发送订阅.事务.连接>  一:发送订阅      Redis发布订阅(pub/sub)是一种消息通信模式:发送者(pub)发送消息,订阅者(sub)接收消息.Redi ...

  9. 图的广度优先遍历算法(BFS)

    在上一篇文章我们用java演示了图的数据结构以及图涉及到的深度优先遍历算法,本篇文章将继续演示图的广度优先遍历算法.广度优先遍历算法主要是采用了分层的思想进行数据搜索.其中也需要使用另外一种数据结构队 ...

  10. 【noi 2.6_2989】糖果(DP)

    题意:求取到总和为K的倍数的糖果的最大值. 解法:用模K的余数作为一个维度,f[i][j]表示在前i种糖果中取到总颗数模K余j的最大总颗数. 注意--f[i-1][j]要正常转移,而其他要之前的状态存 ...