我正在测试基于以下 article 的基于 JWT 令牌的安全性的实现。我已成功收到来自测试服务器的令牌。我不知道如何让 Chrome POSTMAN REST 客户端程序在标头中发送令牌。
https://i.stack.imgur.com/MqjLs.png
我的问题如下:
1) 我是否使用了正确的标题名称和/或 POSTMAN 接口?
2) 我需要对令牌进行 base 64 编码吗?我想我可以把令牌寄回去。
对于请求标头名称,只需使用授权。将 Bearer 放在 Token 之前。我刚试了一下,它对我有用。
授权:不记名 TOKEN_STRING
JWT 的每一部分都是一个 base64url 编码的值。
如果有帮助,这是一张图片:)
https://i.stack.imgur.com/OjNGc.png
更新:
https://i.stack.imgur.com/Ki615.png
我在这个问题上添加了一个有趣的提示,可以帮助你们测试 JWT APIs。
它实际上非常简单。
当您登录时,在您的 Api(登录端点)中,您将立即收到您的令牌,正如@mick-cullen 所说,您将不得不在您的标头上使用 JWT:
Authorization: Bearer TOKEN_STRING
现在,如果您想自动化或只是让您的生活更轻松,您可以将测试保存为全局令牌,您可以在所有其他端点上调用它:
Authorization: Bearer {{jwt_token}}
在 Postman 上:然后在 postman 中创建一个全局变量为 jwt_token = TOKEN_STRING。
在您的登录端点上:为了使其有用,请在“测试”选项卡的开头添加:
var data = JSON.parse(responseBody);
postman.clearGlobalVariable("jwt_token");
postman.setGlobalVariable("jwt_token", data.jwt_token);
我猜您的 api 在响应中将令牌作为 json 返回为:{“jwt_token”:“TOKEN_STRING”},可能存在某种变化。
在第一行,您将响应添加到数据变量。清理您的全局并分配值。
因此,现在您在全局变量上拥有了令牌,这使得在所有端点上都可以轻松使用 Authorization: Bearer {{jwt_token}}。
希望这个提示有所帮助。
编辑要读的东西
关于 Postman 的测试:testing examples
命令行:Newman
不错的博文:master api test automation
Test
选项卡和 Postman 编码的概念。你有推荐的资源来开始这个吗?
这是自动设置令牌的方法
在您的登录/身份验证请求中
https://i.stack.imgur.com/2LvKl.jpg
然后对于经过身份验证的页面
https://i.stack.imgur.com/FxTC9.jpg
我在 Flask
中遇到了同样的问题,在尝试了相同的前 2 个解决方案 (Authorization: Bearer <token>
) 之后,得到了这个:
{
"description": "Unsupported authorization type",
"error": "Invalid JWT header",
"status_code": 401
}
我设法最终通过使用来解决它:
Authorization: jwt <token>
认为这可能会为遇到同样事情的人节省一些时间。
Bearer <token>
在 django
中获得 Authentication credentials were not provided
。用 jwt <token>
解决。感谢您的解决方案
如果您想使用邮递员,正确的方法是使用标题
关键:授权
值:jwt {token}
就如此容易。
打开邮递员。转到“标题”字段。可以看到“关键值”空白。在密钥类型“授权”中。在值类型“承载(空间)your_access_token_value”中。
完毕!
对于使用 wordpress 插件 Advanced Access Manager 来打开 JWT 身份验证的人。
Header 字段应放置 Authentication 而不是 Authorization
https://i.stack.imgur.com/OywJD.png
AAM 在他们的 documentation 中提到了它,
笔记! AAM 不使用标准授权标头,因为它被大多数 Apache 服务器跳过。 ...
希望它可以帮助某人!感谢其他答案也帮助了我很多!
https://i.stack.imgur.com/4Xgps.png
其他一切,即。参数、授权、正文、预请求脚本、测试为空,只需打开标题选项卡并添加,如图所示。 GET 请求也一样。
我按照 moplin 提到的方式做了。但在我的案例中,服务将 JWT 作为响应标头发送,作为“授权”键下的值。
Authorization →Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJpbWFsIiwiZXhwIjoxNDk4OTIwOTEyfQ.dYEbf4x5TGr_kTtwywKPI2S-xYhsp5RIIBdOa_wl9soqaFkUUKfy73kaMAv_c-6cxTAqBwtskOfr-Gm3QI0gpQ
我所做的是,在邮递员中创建一个全局变量
键->jwt 值->blahblah
在登录请求-> 测试选项卡中,添加
postman.clearGlobalVariable("jwt");
postman.setGlobalVariable("jwt", postman.getResponseHeader("Authorization"));
在其他请求中选择标题选项卡并给出
key->授权值->{{jwt}}
不知何故,邮递员不适合我。我不得不使用一个名为 RESTED 的 chrome 扩展,它确实有效。
在 Postman 最新版本(7++)中,授权中可能没有 Bearer 字段所以转到 Header 选项卡
选择键作为授权并在值中写入 JWT
Authorization
选项卡中有一个 Bearer Token
帮助程序,在此处添加令牌值(硬编码或作为动态变量)将为要求。
不定期副业成功案例分享