Senden JWT token in den Header mit Postboten

Teste ich eine Umsetzung von JWT Token-basierte Sicherheit wird basierend auf der folgenden Artikel. Ich habe erfolgreich empfangen eines token aus der test-server. Ich kann nicht herausfinden, wie Sie den Chrome-POSTMAN-REST Client-Programm senden Sie das token in den header.

Meine Fragen sind wie folgt:

1) Bin ich mit dem richtigen header-name und/oder BRIEFTRÄGER-Schnittstelle?

2) muss ich die base-64-Kodierung der token? Ich dachte, ich könnte senden Sie einfach den token zurück.

Hallo, wo kann ich sehen, im POSTMAN die jwt token, die ich erhalten habe?
es hängt davon ab, wie der empfangende server so konfiguriert ist. Es kann wieder kommen, wie eine URL (finden Sie es in den URL-string) oder kann es wieder in den response-body (finden Sie es in der Antwort-Text-Feld). Das sind die zwei großen, die ich bin mir dessen bewusst.

InformationsquelleAutor Diode Dan | 2014-07-12

240

Für die Anfrage-Header-Namen nur verwenden, Genehmigung.
Ort, Träger, bevor das Token. Ich habe es gerade ausprobiert und es funktioniert für mich.

Authorization: Bearer TOKEN_STRING

Jeder Teil der JWT ist eine base64url codierten Wert.
- Nur als Klarstellung, die "Header" - Feld wird die Autorisierung und die "Wert" - Feld wird Träger[LEERZEICHEN]<your-code-hier>
- Wissen Sie, was Teil des Feldes verschlüsselt ist? Es scheint, dass die Daten direkt nach dem letzten '. ' - Trennzeichen gibt mir, was aussieht wie Müll-Zeichen. Ich nehme an, dies ist eigentlich die Informationen verschlüsselt, die durch die Token-generator?
- Check out jwt.io .Es ist ein Bereich, wo Sie einfügen können ein JWT und anzeigen der entschlüsselten Inhalt, es ist der beste Weg zu sehen, was passiert. Der server geheime Zeichenfolge verwendet wird, um den letzten Abschnitt der token. JWT einzigen Anzeichen dafür, dass der payload nicht verschlüsselt, d.h. Sie Dekodieren kann Teil 1 & 2 der string aber nicht überprüfen kann, ohne das Geheimnis. self-issued.info/docs/draft-ietf-oauth-json-web-token.html
- BEISPIEL. JWT secret = 'das ist das Geheimnis hush hush!' Client (senden von Anmeldeinformationen über http):Benutzername und Passwort, den Server sendet token in den http-response-headers: {"token":" eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1nij9. eyJ1c2VyX2lkIjoiNTNjM2E2ZGIxMmFizme4mdbjntrhndq2iiwidxnlcm5hbwuioijhzg1pbiisimfkbwluijp0cnvllcjjcmvhdgvkijoimjaxnc0wny0xnfqwoto0njowmy45ntzaiiwizw1hawwioijtawnrqdeymy5pzsisimlhdci6mtqwntmzmtiwnywizxhwijoxnda1mzm0oda3fq. LfE_1suABLnAY8IGWd_sOWw1ONVf7KbKgrnjlgbatsq"}
- Kann mir bitte jemand erläutern, warum wir brauchen, um Träger vor dem JWT? Ist dies eine Art signal an den server, dies ist ein JWT?
- Das ist nur die Konvention - Sie können Sie alle details dazu finden Sie hier: jwt.io/Einführung
- hmm ich bin dabei, aber ich bekomme 403 Forbidden in meine .net-core-api
InformationsquelleAutor Mick Cullen
121

Hier ist ein Bild, wenn es hilft 🙂

Update:

Den Briefträger-team Hinzugefügt "Bearer-token" auf die "Registerkarte Berechtigung":

InformationsquelleAutor prasanthv
37

Ich bin das hinzufügen dieser Frage ein wenig interessanter Tipp, die Ihnen helfen können Jungs testen JWT-Apis.

Ist sehr einfach eigentlich.

Wenn Sie sich anmelden, in der Api (login Endpunkt), Sie erhalten umgehend Ihr token, und, wie @mick-cullen sagte, Sie haben die JWT auf Ihrem header:
```
Authorization: Bearer TOKEN_STRING
```
Nun, wenn Sie wollen, automatisieren oder einfach nur dein Leben einfacher machen, Ihre tests, die Sie speichern können, wird das token als ein globales, die Sie aufrufen können auf alle anderen Endpunkte wie:
```
Authorization: Bearer {{jwt_token}}
```
Auf Den Postboten:
Dann eine Globale variable im postman als jwt_token = TOKEN_STRING.

In Ihrem login-Endpunkt:
Nutzbar zu machen, fügen Sie am Anfang des Tests die Registerkarte hinzufügen:
```
var data = JSON.parse(responseBody);
postman.clearGlobalVariable("jwt_token");
postman.setGlobalVariable("jwt_token", data.jwt_token);
```
Ich vermute, dass Ihr api ist die Rücksendung der token als json auf die Antwort:
{"jwt_token":"TOKEN_STRING"}, kann es eine Art von variation.

In der ersten Zeile fügen Sie die Antwort auf die data Variable.
Reinigen Sie Ihre Globale
Und weisen Sie den Wert.

So, jetzt haben Sie Ihre token auf der globalen variable, welche einfach zu verwenden Authorization: Bearer {{jwt_token}} auf alle Ihre Endgeräte.

Hoffe dieser Tipp hilft.

BEARBEITEN

Etwas zu Lesen

Über tests auf den Postboten: Beispiele zum testen

Befehlszeile: Newman

CI: die Integration mit Jenkins

Schönen blog post: master api test automation
- Interessant, ich bin nicht vertraut mit dem Konzept der Test Registerkarte und Briefträger Codierung. Gibt es eine Ressource, die Sie empfehlen, mit diesem Einstieg?
- Yup, es gibt einige, die ich besonders nützlich finde: * getpostman.com/docs/testing_examples * blog.testproject.io/2016/06/22/master-api-test-automation * sm-cloud.com/testing-api-with-postman
- Eigentlich Postbote ist wirklich interessant und ziemlich stark, wenn es um die automatisierte Prüfung. Sie können konfigurieren, Postbote in einer Weise, dass Sie bauen können zufällige Daten, Globale Variablen oder Umgebungsvariablen, die Sie ausführen können, auf die Prüfungen. Und machen iterativen läuft, und testen Sie jede Antwort als Endpunkt unit-tests. Speichern Sie und finden Sie Fehler, wenn Sie den code ändern. Ich habe nicht verwendet die Befehl-Linie Dienstprogramm, aber ich verstehe, dass Sie können konfigurieren, es auszuführen in Ihrem ci-pipeline.
- Ihre Lesen können über die Befehlszeile hier: getpostman.com/docs/newman_intro
InformationsquelleAutor moplin
9

Ich hatte das gleiche Problem in Flask und nach dem Versuch, die ersten 2 Lösungen, die sind die gleichen (Authorization: Bearer <token>), und immer dieses:
```
{
    "description": "Unsupported authorization type",
    "error": "Invalid JWT header",
    "status_code": 401
}
```
Schaffte ich es schließlich, es zu lösen, indem
```
Authorization: jwt <token>
```
Dachte, es könnte etwas Zeit sparen, um Menschen, die Begegnung, die gleiche Sache.
- Ich war immer Authentication credentials were not provided im django mit Bearer <token>. gelöst mit jwt <token>. Vielen Dank für die Lösung
InformationsquelleAutor Vucko
6

Hier ist, wie zu Satz-token diese automatisch

In Ihrem login - /auth-Anfrage

Dann für authentifizierte Seite

InformationsquelleAutor Digitlimit
1
1. Öffnen Postboten.
2. gehen Sie auf die "header" - Feld.
3. dort kann man unter "key-value" - Rohlinge.
4. in Schlüssel-Typ "Berechtigung".
5. im Wert geben Sie "Bearer(Raum)your_access_token_value".
Getan!

InformationsquelleAutor Dheeraj
1

Wenn Sie möchten, verwenden Briefträger der richtige Weg ist, um die überschriften als solche

Schlüssel: Genehmigung

Wert: jwt {token}

so einfach ist das.

InformationsquelleAutor Adi
0

Irgendwie Postbote hat bei mir nicht funktioniert.
Musste ich eine chrome-Erweiterung namens RUHTE, die funktionierten.

InformationsquelleAutor RamanSM
0

Habe ich, wie moplin erwähnt .Aber in meinem Fall service senden Sie die JWT im response-Header als Wert unter dem Schlüssel "Autorisierung".
```
Authorization →Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJpbWFsIiwiZXhwIjoxNDk4OTIwOTEyfQ.dYEbf4x5TGr_kTtwywKPI2S-xYhsp5RIIBdOa_wl9soqaFkUUKfy73kaMAv_c-6cxTAqBwtskOfr-Gm3QI0gpQ
```
Was ich Tat, war ,eine Globale variable im postman als

Schlüssel->jwt

Wert->blahblah

in der login-Anforderung->Tests Registerkarte hinzufügen
```
postman.clearGlobalVariable("jwt");
postman.setGlobalVariable("jwt", postman.getResponseHeader("Authorization"));
```
in anderen Anfragen wählen Sie die Registerkarte Header und geben

Schlüssel->die Ermächtigung

Wert->{{jwt}}

InformationsquelleAutor Yasitha Bandara
0

Für Menschen, die mit wordpress-plugin Advanced Access Manager zu öffnen, die JWT-Authentifizierung.

Den Header-Feld setzen sollte Authentifizierung statt Genehmigung

AAM erwähnt es in Ihren Dokumentation,

Hinweis! AAM nicht verwenden standard-Authorization-header wie es wird übersprungen
von den meisten Apache-Server. ...

Hoffe es hilft jemandem! Vielen Dank für die anderen Antworten, hat mir sehr geholfen auch!!!!

InformationsquelleAutor jeffsama
0

Alles andere ie. Params -, Autorisierungs -, Körper -, Pre-request-Skript, Tests leer ist, öffnen Sie einfach die Header Registerkarte und fügen Sie wie gezeigt in Bild. Dasselbe gilt für die GET-Anforderung als gut.

InformationsquelleAutor coda

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.