OAuth 2.0 All In One

授权类型

授权代码

隐式

密码凭证

客户端凭证

授权码

授权码授予类型要求用户向提供者进行身份验证-然后将授权码发送回客户端应用程序,提取并与提供者交换以获取访问令牌以认证后续请求。

要使用授权码授予类型,请输入客户端应用程序的回调URL(应在API提供商处注册),以及API服务提供的各种详细信息,包括Auth URL,访问令牌URL,Client ID和Client Secret。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

授权码(带PKCE)

您可以将PKCE(代码交换证明密钥)与OAuth 2.0结合使用。选择授权代码(使用PKCE)时,两个其他字段将变为“代码质询方法”和“代码验证者”可用。您可以选择使用SHA-256或Plain算法来生成代码挑战。验证程序是一个可选的43-128字符串,用于将授权请求连接到令牌请求。

建议将授权代码(带有PKCE)授予类型与使用浏览器进行授权一起使用,以防止身份验证代码拦截攻击。

隐含的

隐式授予类型立即将访问令牌返回到客户端,而无需执行额外的身份验证代码步骤(因此安全性较低)。

要将隐式授予类型用于Postman中的请求,请输入您已向API提供程序注册的回调URL,提供程序Auth URL以及已注册应用程序的客户端ID。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

密码凭证

OAuth 2.0密码授予类型涉及直接从客户端发送用户名和密码,因此,如果您要处理第三方数据,则不建议使用。

要使用密码授予类型,请输入API提供者的访问令牌URL以及用户名和密码。在某些情况下,您还需要提供客户端ID和密码。

客户凭证

客户端凭据授予类型通常不用于访问用户数据,而是用于与客户端应用程序关联的数据。

输入提供商的访问令牌URL以及您注册的应用程序的客户端ID和客户端密钥。

请求OAuth 2.0令牌

请求新访问令牌的参数的完整列表如下,具体取决于您的授予类型:

令牌名称:您要用于令牌的名称。

授予类型:选项的下拉列表-这将取决于API服务提供商的要求。

回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,则Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果这不适用于您的API,则可以使用以下URL:

https://www.postman.com/oauth2/callback

使用浏览器进行授权:您可以选择在网络浏览器中输入凭据,而不是使用授权代码或隐式授予类型时默认情况下出现在Postman中的弹出窗口。选中此框会将回调URL设置为返回邮递员。

身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。

访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。

客户端ID:您在API提供程序中注册的客户端应用程序的ID。

客户端机密: API提供商提供给您的客户端机密。

范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。

状态:不透明的值,以防止跨站点请求伪造。

客户端身份验证:下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。

配置完成后,点击请求令牌。

当您使用授权代码或隐式授予类型时,系统将提示您提供凭据以检索要在后续请求中使用的访问令牌。默认情况下,当您单击Request Token时,Postman将显示一个弹出浏览器。您也可以选择使用系统的默认Web浏览器进行身份验证。选择授权使用的浏览器和回调URL会自动填充,当你已经完成了在浏览器中AUTH返回邮差,让您的请求可以使用令牌在认证成功返回。

如果您成功地从API接收到令牌,则将看到其详细信息,到期时间以及可选的刷新令牌,当当前令牌过期时,可以使用该令牌来检索新的访问令牌。单击“使用令牌”以选择返回的值。

任何成功检索的令牌都将在请求“可用令牌”下拉列表中列出。选择一个与您的请求一起发送。在下拉列表中选择管理令牌以查看更多详细信息或删除您的令牌。

如果验证失败或超时,邮递员将显示错误消息。您可以在控制台中检查错误详细信息,重试尝试再次进行身份验证,或在继续之前编辑您的身份验证详细信息。

在Postman中删除令牌不会撤消访问权限。只有发出令牌的服务器才能撤销它。

refs

https://learning.postman.com/docs/sending-requests/authorization/#bearer-token

xgqfrms 2012-2020

www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!

OAuth 2.0 All In One的更多相关文章

  1. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  2. 简述 OAuth 2.0 的运作流程

    本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程. 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时 ...

  3. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  4. [转]An introduction to OAuth 2.0 using Facebook in ASP.NET Core

    本文转自:http://andrewlock.net/an-introduction-to-oauth-2-using-facebook-in-asp-net-core/ This is the ne ...

  5. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  6. oAuth 2.0 笔记

    OAuth 2.0规范于2012年发布,很多大型互联网公司(比如:微信.微博.支付宝)对外提供的SDK中,授权部分基本上都是按这个规范来实现的. OAuth 2.0提供了4种基本的标准授权流程,最为复 ...

  7. 理解OAuth 2.0

    转自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛 ...

  8. 谈谈基于OAuth 2.0的第三方认证 [下篇]

    从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的 ...

  9. 谈谈基于OAuth 2.0的第三方认证 [中篇]

    虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者 ...

  10. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

随机推荐

  1. win server 2019服务器的iis配置以及网站的简单发布

    1.首先远程连接到服务器 2.打开服务器管理器 3添加角色和功能 4.安装类型:选择基于角色或基于功能的安装  →服务器角色:从服务器池中选择服务器 5.服务器角色选择Web服务器(iis) 6.功能 ...

  2. 手把手做一个基于vue-cli的组件库(上篇)

    基于vue-cli4的ui组件库,先贴个最终效果吧,步骤有点多,准备分上下篇,上篇:如何做一个初步的组件.下篇:编写说明文档及页面优化.开工. GitHub源码地址:https://github.co ...

  3. .NET, NETCORE 怎么写 "超时"代码,解析"超时"代码原理!

    干货:本人不会长篇大论.能贴上去的,就是干货,能用一两句话讲明白的,不会大讲概念,不会浪费大家宝贵的时间. 前言:我们发现,超时是个非常重要的概念,如果在通讯架构中,没有超时的设计,那么这个通讯架构就 ...

  4. Win10家庭版Hyper-V出坑(完美卸载,冲突解决以及Device Guard问题)

    本文链接:https://blog.csdn.net/hotcoffie/article/details/85043894 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附 ...

  5. vue-router实现路由懒加载( 动态加载路由 )

    三种方式第一种:vue异步组件技术 ==== 异步加载,vue-router配置路由 , 使用vue的异步组件技术 , 可以实现按需加载 .但是,这种情况下一个组件生成一个js文件.第二种:路由懒加载 ...

  6. P2573 [SCOI2012]滑雪 题解

    下午花了三个小时肝这道题,心态差点爆炸! 下面是分析: 1 题目要求: 2 求最小生成树 3 但是 4 - a是从1号点开始的 --> 如果以后的某个点比一号高,则不可能到达 5 - a只能从高 ...

  7. TRUNK与VTP

    TRUNK协议: 交换机之间VLAN通信: 同一个VLAN可以跨越多个交换机 主干功能支持多个VLAN的数据 Trunk(主干) VLAN 中交换机之间的链路:用来承载多个VLAN的数据流. Trun ...

  8. Java调用RestFul接口

    使用Java调用RestFul接口,以POST请求为例,以下提供几种方法: 一.通过HttpURLConnection调用 1 public String postRequest(String url ...

  9. ehCache 配置

    package com.jy.modules.cms; import java.io.Serializable; import net.sf.ehcache.Cache; import net.sf. ...

  10. 常用的trigger表达式

    1.Name:Incoming traffic on interface {#SNMPVALUE} is greater than 300Mb, now is {ITEM.VALUE} Express ...