Перейти на PRO

Какие методы авторизации поддерживает Postman?

Тип вопроса: Инструменты тестирования Вероятность: 10% Категория: QA Тестировщик

Ответ

Postman поддерживает множество методов авторизации для тестирования защищенных API.

Основные методы:

  1. No Auth — запросы без авторизации.

  2. Bearer Token — самый распространенный метод для JWT и OAuth 2.0 Access Tokens.

    • Токен передается в заголовке Authorization.
    • Пример заголовка: Authorization: Bearer eyJhbGciOiJIUzI1NiIs...

  3. API Key — ключ можно передать в разных местах запроса.

    • В заголовке: X-API-Key: your_api_key_here
    • Как query-параметр: https://api.example.com/data?api_key=your_key
    • В теле запроса (реже).

  4. Basic Auth — передача логина и пароля в кодировке Base64.

    • Postman автоматически формирует заголовок: Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

  5. OAuth 1.0 / 2.0 — встроенные помощники (wizards) для получения токенов по протоколам OAuth.

    • Для OAuth 2.0 можно настроить различные grant types: Authorization Code, Client Credentials, Password Credentials, Implicit.
    • Postman может автоматически обновлять истекшие токены, если настроены refresh_token.

  6. Digest Auth — более безопасная версия Basic Auth, где пароль хешируется на стороне клиента с использованием nonce от сервера.

  7. AWS Signature — для подписи запросов к Amazon Web Services (AWS). Postman автоматически вычисляет заголовки Authorization и X-Amz-Date.

  8. NTLM Authentication — протокол аутентификации Microsoft Windows.

Как использовать в Postman:

  • Метод авторизации выбирается на вкладке "Authorization" запроса или коллекции.
  • Настройки можно сохранять на уровне коллекции или окружения, используя переменные (например, {{access_token}}).
  • Это позволяет централизованно управлять учетными данными и не хардкодить их в запросах.

Пример настройки Bearer Token через переменную окружения:

  1. Создайте переменную access_token в окружении.
  2. В запросе на вкладке "Authorization" выберите тип "Bearer Token".
  3. В поле "Token" укажите {{access_token}}.
  4. Значение токена будет подставляться автоматически.

Ответ 18+ 🔞

Да ты посмотри, какая у этого Postman, блядь, коллекция способов вломиться в API! Прямо как у вора-рецидивиста отвёрток на выбор, ёпта. Сидишь такой, думаешь: "Ну-ка, сука, как тебя сегодня авторизовать, шалава защищённая?"

Вот тебе весь его арсенал, разложенный по полочкам:

  1. Без мамки, без папки (No Auth) — это когда ты просто ломишься в дверь, надеясь, что она не заперта. Наивный, блядь, но иногда прокатывает.

  2. Волшебный пропуск (Bearer Token) — король, блядь, современных танцев! Почти все эти ваши JWT и OAuth 2.0 так и ходят.

    • Суёшь ты этот токен в шапку запроса, в Authorization.
    • Выглядит это так, блядь: Authorization: Bearer eyJhbGciOiJIUzI1NiIs... — а внутри-то, сука, одни нули и единицы, но сервер верит, как иконе!

  3. Секретный пароль (API Key) — старый, добрый, как папин ремень. Куда его только не пихают, маньяки!

    • В шапку: X-API-Key: твой_ключ_тут — классика.
    • В адресную строку, как сопля: https://api.example.com/data?api_key=твой_ключ
    • Иногда, блядь, и в тело засовывают, но это уже извращение.

  4. Дедушка Basic Auth — прадед всех авторизаций. Логин с паролем, склеенные и зашифрованные в Base64.

    • Postman сам, блядь, эту кашу замешает и сделает заголовок: Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ= — а расшифруй-ка, сука, без стакана!

  5. Большие дяди OAuth 1.0 / 2.0 — тут уже, блядь, целый ритуал с танцами с бубном. Но в Postman есть, сука, волшебные мастера (wizards), которые за тебя всё сделают.

    • Для OAuth 2.0 можно выбрать, как тебе токен выбивать: типа "авторизационный код", "учётные данные клиента" и прочую хуйню.
    • Самое охуенное — он может сам, блядь, подновлять протухшие токены, если refresh_token дали. Умная жопа!

  6. Хитрый брат Digest Auth — это как Basic, но с шифром посерьёзнее. Тут пароль не просто так летит, а, блядь, хешируется с какой-то одноразовой солью (nonce) от сервера. Чуть сложнее взломать, но суть та же.

  7. Подпись от Амазона (AWS Signature) — для тех, кто в теме облаков. Postman сам, ёпта, посчитает все эти криптографические пляски и вставит правильные заголовки Authorization и X-Amz-Date. Сиди и не еби мозги.

  8. Виндовый заскок (NTLM Authentication) — это уже из мира, блядь, корпоративных сетей и старых серверов Microsoft. Специфичная штука, но и для неё кнопочка есть.

Как этим всем пользоваться, не сломав себе пальцы:

  • Вся эта движуха выбирается на вкладке "Authorization" — либо для одного запроса, либо для целой пачки (коллекции).
  • Умные люди, блядь, не пишут токены и ключи прямо в запросы. Их надо складывать в переменные коллекции или окружения (типа {{мой_секретик}}).
  • Так один раз настроил — и все запросы, как по маслу, авторизуются. Красота, в рот меня чих-пых!

Вот тебе живой пример, как Bearer Token через переменную прикрутить:

  1. Заводишь в своём "окружении" переменную с именем access_token. Как в тюрьме, блядь, кличку.
  2. Идёшь в запрос, на вкладку "Authorization", тыкаешь на "Bearer Token".
  3. В поле "Token" пишешь не сам токен, а его кличку — {{access_token}}.
  4. Всё, сука! Теперь Postman сам будет подставлять актуальное значение, когда ты запрос шмальнёшь. Волшебство, да и только!
© ХакСобесов, 2026
support@hacksobesov.com