Авторизация в HTTP-клиенте для веб-сайтов ( Postman )
Во всех предыдущих примерах можно было запрашивать или публиковать данные без необходимости аутентификации. Что довольно необычно для веб-сервисов или веб-сайтов.
Существует множество вариантов и технологий для авторизации / аутентификации, давайте рассмотрим хотя бы несколько из них.
Настройки авторизации на коллекции
В Почтальоне вы можете установить необходимые переменные аутентификации и настройки индивидуально для каждого запроса. Но когда вы тестируете API и имеете коллекцию, обычно имеет смысл установить глобальные параметры для всех запросов в коллекции.
- Когда вы откроете боковую панель в Postman и наведете курсор на сохраненную коллекцию, появится новая кнопка «…» с доступом к настройкам коллекции:
2. Выберите «Edit» в меню «more actions», чтобы получить доступ к настройкам коллекции:
Базовая аутентификация
Выберите «Basic Auth» из списка. Базовая аутентификация доступа - это метод авторизации, с которым вы, вероятно, уже сталкивались. В вашем веб-браузере вызов любой страницы или каталога, защищенных обычной аутентификацией, создаст всплывающее окно с формой входа в систему:
- Введите имя пользователя и пароль, как показано, затем нажмите «Обновить»:
2. Чтобы проверить конфигурацию, отправьте запрос GET на защищенную страницу:
3. Чтобы убедиться, что конфигурация авторизации работает, отключите Basic Auth и снова запросите ту же страницу.
º Перейдите на вкладку «Authorization» запроса и выберите «No Auth» из выпадающего списка:
4. Веб-сервер теперь будет отображать ошибку, потому что запрос не аутентифицирован, но для папки требуется обычная аутентификация аутентификации.
5. После установки типа авторизации обратно к значению по умолчанию «Inherit auth from parent», глядя на код, вы можете увидеть, что этот метод аутентификации работает, отправив новый заголовок запроса, который содержит имя пользователя и пароль в форме в кодировке Base64:
Жетон на предъявителя
- Маркер-носитель очень похож на Basic Auth в том смысле, что он будет передаваться в форме заголовка запроса, но вместо заголовка «Authorization: Basic» он будет использовать: «Authorization: Bearer EXAMPLETOKEN»
º Пример:
- Маркер-носитель - это токен безопасности, который подразумевает, что любая сторона, обладающая им («носитель»), имеет доступ к защищенному ресурсу. Обычно он генерируется сервером в ответ на запрос входа
Давайте проверим токен на предъявителя:
- Прежде чем вы сможете проверить авторизацию токена Bearer, необходимо сначала отменить настройки авторизации коллекции. В противном случае сервер попытается применить базовую аутентификацию ко всем каталогам, к которым вы пытаетесь получить доступ, и при этом произойдет сбой, поскольку у них не включена та же комбинация имени пользователя и пароля для других папок:
2. Теперь сначала создайте запрос входа в систему POST, чтобы запросить токен на предъявителя:
3. После того как вы нажмете «Send», в ответе должен появиться токен «EXAMPLETOKEN».
4. Если вы отправите неверную комбинацию имени пользователя и пароля, сервер предоставит вам форму входа.
5. Используйте возвращенный токен в новом запросе GET:
6. Когда вы отправляете этот запрос (не забудьте также сохранить его в своей коллекции), ответ сообщит вам, был ли запрос успешным: