Авторизация в HTTP-клиенте для веб-сайтов ( Postman )


Во всех предыдущих примерах можно было запрашивать или публиковать данные без необходимости аутентификации. Что довольно необычно для веб-сервисов или веб-сайтов.
Существует множество вариантов и технологий для авторизации / аутентификации, давайте рассмотрим хотя бы несколько из них.

Настройки авторизации на коллекции

В Почтальоне вы можете установить необходимые переменные аутентификации и настройки индивидуально для каждого запроса. Но когда вы тестируете API и имеете коллекцию, обычно имеет смысл установить глобальные параметры для всех запросов в коллекции.

  1. Когда вы откроете боковую панель в Postman и наведете курсор на сохраненную коллекцию, появится новая кнопка «…» с доступом к настройкам коллекции:

2. Выберите «Edit» в меню «more actions», чтобы получить доступ к настройкам коллекции:

Базовая аутентификация

Выберите «Basic Auth» из списка. Базовая аутентификация доступа - это метод авторизации, с которым вы, вероятно, уже сталкивались. В вашем веб-браузере вызов любой страницы или каталога, защищенных обычной аутентификацией, создаст всплывающее окно с формой входа в систему:

  1. Введите имя пользователя и пароль, как показано, затем нажмите «Обновить»:

2. Чтобы проверить конфигурацию, отправьте запрос GET на защищенную страницу:

3. Чтобы убедиться, что конфигурация авторизации работает, отключите Basic Auth и снова запросите ту же страницу.
º Перейдите на вкладку «Authorization» запроса и выберите «No Auth» из выпадающего списка:

4. Веб-сервер теперь будет отображать ошибку, потому что запрос не аутентифицирован, но для папки требуется обычная аутентификация аутентификации.
5. После установки типа авторизации обратно к значению по умолчанию «Inherit auth from parent», глядя на код, вы можете увидеть, что этот метод аутентификации работает, отправив новый заголовок запроса, который содержит имя пользователя и пароль в форме в кодировке Base64:

Жетон на предъявителя

  • Маркер-носитель очень похож на Basic Auth в том смысле, что он будет передаваться в форме заголовка запроса, но вместо заголовка «Authorization: Basic» он будет использовать: «Authorization: Bearer EXAMPLETOKEN»
    º Пример:
  • Маркер-носитель - это токен безопасности, который подразумевает, что любая сторона, обладающая им («носитель»), имеет доступ к защищенному ресурсу. Обычно он генерируется сервером в ответ на запрос входа

Давайте проверим токен на предъявителя:

  1. Прежде чем вы сможете проверить авторизацию токена Bearer, необходимо сначала отменить настройки авторизации коллекции. В противном случае сервер попытается применить базовую аутентификацию ко всем каталогам, к которым вы пытаетесь получить доступ, и при этом произойдет сбой, поскольку у них не включена та же комбинация имени пользователя и пароля для других папок:

2. Теперь сначала создайте запрос входа в систему POST, чтобы запросить токен на предъявителя:

3. После того как вы нажмете «Send», в ответе должен появиться токен «EXAMPLETOKEN».
4. Если вы отправите неверную комбинацию имени пользователя и пароля, сервер предоставит вам форму входа.
5. Используйте возвращенный токен в новом запросе GET:

6. Когда вы отправляете этот запрос (не забудьте также сохранить его в своей коллекции), ответ сообщит вам, был ли запрос успешным:


Главная страница

Следующая статья