Configuración de autorización del cartero

Por razones de seguridad, generalmente no queremos exponer nuestras interfaces. Aquí es donde entra en juego el mecanismo de autorización. El proceso de autorización verifica que usted tiene permiso para acceder a los datos requeridos por el servidor. Al enviar una solicitud, generalmente se deben incluir parámetros para garantizar que la solicitud tenga permiso para acceder y devolver los datos requeridos. Postman proporciona tipos de autorización que le permiten manejar fácilmente protocolos de autenticación en aplicaciones nativas de Postman.

Los tipos de protocolo de autorización admitidos por Postman son los siguientes:

Autenticación básica

La autenticación básica es un tipo de autorización relativamente simple que requiere un nombre de usuario y una contraseña autenticados. Acceder a recursos de datos. Esto requiere que introduzcamos nuestro nombre de usuario y contraseña correspondiente.

Ejemplo: La URL de solicitud es la siguiente y la cuenta autorizada es:

/basic-auth

{

}

Autenticación implícita

La autenticación implícita es un mecanismo de autenticación simple desarrollado originalmente para el protocolo HTTP, por lo que a menudo se le llama resumen HTTP. Su mecanismo de autenticación es muy simple; utiliza cifrado hash para evitar transmitir las contraseñas de los usuarios en texto claro. La autenticación implícita se utiliza para verificar que ambas partes involucradas en la comunicación conozcan las contraseñas compartidas por ambas partes.

Cuando el servidor quiere autenticar a un usuario, genera un desafío de resumen y se lo envía al usuario. Una carta de desafío de resumen típica es la siguiente:

Digest kingdom="iptel.org", qop="auth,auth-int", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="", algoritmo=MD5

Contiene un conjunto de parámetros que también serán enviados al usuario. El usuario utiliza estos parámetros para generar la respuesta resumida correcta y la envía al servidor. El significado de cada parámetro en la consulta de resumen es el siguiente:

reino: el parámetro reino es un parámetro obligatorio y debe aparecer en todas las consultas. Se utiliza para identificar secretos en mensajes SIP. En la práctica SIP, normalmente se establece en el dominio del que es responsable el servidor proxy SIP.

nonce: esta es una cadena de datos especificada por el servidor que es diferente cada vez que el servidor genera una consulta de resumen (diferente de las consultas de resumen generadas anteriormente). El "tiempo actual" generalmente se genera a partir de algunos datos mediante hash md5. Estos datos generalmente contienen una marca de tiempo y la palabra secreta del servidor. Esto garantiza que cada "tiempo actual" tenga una vida útil limitada (es decir, dentro de un cierto tiempo caduca y ya no es utilizado) y unicidad (es decir, ningún otro servidor puede generar el mismo "tiempo actual")

Algoritmo: se utiliza para los cálculos. Actualmente sólo se admite el algoritmo MD5.

qop (calidad de protección): Este parámetro especifica el esquema de protección soportado por el servidor. auth significa solo autenticación, auth-int significa proporcionar cierta protección de integridad además de la autenticación. Consulte RFC2617 para obtener una descripción más específica.

Ejemplo:

URL de solicitud: /digest-auth

El resumen de la información de configuración es el siguiente: el nombre de usuario y la contraseña son los mismos que los de la autenticación básica anterior

Resumen de nombre de usuario="cartero", kingdom = "Users", nonce="ni1LiL0O37PRRhofWdCLmwFsnEtH1lew", uri="/digest-auth", respuesta="254679099562cf07df9b6f5d8d15db44", opaque=""

Los resultados de ejecutar la solicitud son los siguientes:

{

}

OAuth 1.0

OAuth (autorización abierta) es un estándar abierto que permite a los usuarios permitir que los programas de aplicaciones de terceros accedan a recursos (por ejemplo, fotos, videos y listas de contactos), fotos, videos, listas de contactos) sin proporcionar un nombre de usuario y contraseña a la aplicación de terceros.

Extensión:

Caso

La URL de solicitud es la siguiente: el método de solicitud es GET y la configuración para agregar datos de autorización es: encabezado de solicitud

/ oauth1

La configuración de parámetros es la siguiente:

El resultado de la solicitud se envía de la siguiente manera:

{

}

Si el consumidor El texto cifrado es incorrecto y se devolverán los siguientes resultados:

{

}

Información ampliada: Documentos para varios acuerdos de autorización

Autenticación Hawk

Hawk Auth es un esquema de autenticación HTTP que utiliza el algoritmo MAC (Código de autenticación de mensajes), que proporciona una forma de autenticar solicitudes HTTP cifrando parcialmente la solicitud de autenticación. El esquema Eagle requiere una clave simétrica compartida entre el servidor y el cliente. Normalmente, esta credencial compartida se establece durante la fase inicial de protección TLS (Seguridad de la capa de transporte), o a través del cliente y el cliente. La clave compartida está disponible para que el servidor la cree. otras credenciales compartidas.

Ejemplo

La URL de solicitud es la siguiente: /auth/hawk

La información clave es la siguiente:

Resultado:

{

}

Si cambia la clave a cualquier otro carácter arbitrario, se devolverá lo siguiente:

{

}