Ответ
Postman поддерживает множество методов авторизации для тестирования защищенных API.
Основные методы:
-
No Auth — запросы без авторизации.
-
Bearer Token — самый распространенный метод для JWT и OAuth 2.0 Access Tokens.
- Токен передается в заголовке
Authorization. - Пример заголовка:
Authorization: Bearer eyJhbGciOiJIUzI1NiIs...
- Токен передается в заголовке
-
API Key — ключ можно передать в разных местах запроса.
- В заголовке:
X-API-Key: your_api_key_here - Как query-параметр:
https://api.example.com/data?api_key=your_key - В теле запроса (реже).
- В заголовке:
-
Basic Auth — передача логина и пароля в кодировке Base64.
- Postman автоматически формирует заголовок:
Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=
- Postman автоматически формирует заголовок:
-
OAuth 1.0 / 2.0 — встроенные помощники (wizards) для получения токенов по протоколам OAuth.
- Для OAuth 2.0 можно настроить различные grant types: Authorization Code, Client Credentials, Password Credentials, Implicit.
- Postman может автоматически обновлять истекшие токены, если настроены
refresh_token.
-
Digest Auth — более безопасная версия Basic Auth, где пароль хешируется на стороне клиента с использованием nonce от сервера.
-
AWS Signature — для подписи запросов к Amazon Web Services (AWS). Postman автоматически вычисляет заголовки
AuthorizationиX-Amz-Date. -
NTLM Authentication — протокол аутентификации Microsoft Windows.
Как использовать в Postman:
- Метод авторизации выбирается на вкладке "Authorization" запроса или коллекции.
- Настройки можно сохранять на уровне коллекции или окружения, используя переменные (например,
{{access_token}}). - Это позволяет централизованно управлять учетными данными и не хардкодить их в запросах.
Пример настройки Bearer Token через переменную окружения:
- Создайте переменную
access_tokenв окружении. - В запросе на вкладке "Authorization" выберите тип "Bearer Token".
- В поле "Token" укажите
{{access_token}}. - Значение токена будет подставляться автоматически.