Như một công cụ phát triển API, Postman đơn giản hóa và tăng tốc quá trình phát triển API. Một trong những tính năng được sử dụng rộng rãi nhất của nó, OAuth 2.0, cung cấp một cách tiêu chuẩn hóa để người dùng truy cập API một cách an toàn. Trong bài viết trên blog này, chúng tôi sẽ xem xét kỹ lưỡng cách sử dụng Postman OAuth 2.0 để lấy token và một ví dụ liên quan đến Business Central OAuth2.
OAuth 2.0 là gì?
OAuth 2.0 là một giao thức tiêu chuẩn trong ngành cho việc ủy quyền cho phép một ứng dụng truy cập tài nguyên từ một dịch vụ web thay mặt cho người dùng. Nó cung cấp một cách cho người dùng cấp quyền truy cập giới hạn vào các tài nguyên được bảo vệ của họ mà không cần chia sẻ thông tin xác thực của họ.
Thay vì sử dụng thông tin xác thực của chủ sở hữu tài nguyên trực tiếp, ứng dụng khách nhận được một token truy cập cấp quyền truy cập cụ thể vào tài nguyên. Token này cho phép ứng dụng truy cập vào các tài khoản cụ thể và thực hiện các hành động đã được phê duyệt mà không cần người dùng phải chia sẻ mật khẩu tài khoản của họ.
Tổng quan về Postman OAuth 2.0
Để bắt đầu với OAuth 2.0 trong Postman, bạn cần cấu hình trước các cài đặt ủy quyền cho yêu cầu API của bạn. Điều này có thể được thực hiện bằng cách chọn tùy chọn "OAuth 2.0" từ menu thả xuống loại ủy quyền và điền vào các chi tiết cần thiết, chẳng hạn như URL ủy quyền và URL token truy cập.
Khi các cài đặt ủy quyền đã được cấu hình, bạn có thể sử dụng Postman để lấy một token truy cập OAuth 2.0. Điều này có thể được thực hiện bằng cách gửi một yêu cầu POST đến URL token truy cập với các tham số cần thiết, chẳng hạn như client ID và client secret.
Một ví dụ về việc sử dụng thông tin xác thực của khách hàng OAuth 2.0 trong Postman có thể được tìm thấy trong tài liệu API của Business Central. Ví dụ này cho thấy cách lấy token truy cập bằng cách sử dụng client ID và client secret do Business Central cung cấp.
Cách cấu hình và kiểm tra OAuth2 trong Postman?
Để cấu hình xác thực OAuth 2.0 trong Postman, hãy làm theo các bước sau:
- Mở Postman và tạo một yêu cầu mới.
- Nhấp vào tab "Authorization".
3. Chọn "OAuth 2.0" làm loại ủy quyền.
4. Nhấp vào nút "Configure New Token".
5. Nhấp vào nút "Get New Access Token".
Nếu việc ủy quyền thành công, token truy cập sẽ được hiển thị trong trường "Access Token".
6. Sử dụng token truy cập để thực hiện các yêu cầu API bằng cách thêm nó vào tiêu đề "Authorization" của yêu cầu.
Ví dụ về xác thực OAuth 2.0 trong Postman
Dưới đây là một số ví dụ về xác thực OAuth2 trong Postman:
- Để cấu hình xác thực OAuth2 cho Business Central, hãy sử dụng thông tin sau:
- Grant Type: Authorization Code
- Callback URL: https://www.getpostman.com/oauth2/callback
- Auth URL: https://login.microsoftonline.com/common/oauth2/authorize
- Access Token URL: https://login.microsoftonline.com/common/oauth2/token
- Client ID: Client ID cho ứng dụng.
- Client Secret: Client secret cho ứng dụng.
- Scope: openid
- Để cấu hình xác thực OAuth2 bằng thông tin xác thực của khách hàng, hãy sử dụng thông tin sau:
- Grant Type: Client Credentials
- Auth URL: URL để ủy quyền cho ứng dụng.
- Access Token URL: URL để lấy token truy cập.
- Client ID: Client ID cho ứng dụng.
- Client Secret: Client secret cho ứng dụng.
- Scope: Phạm vi của token truy cập.
Cách lấy token truy cập OAuth 2 trong Postman?
Để thực hiện các yêu cầu API bằng cách sử dụng xác thực OAuth2, chúng ta cần lấy token truy cập trước. Trong phần này, chúng ta sẽ học cách lấy token truy cập OAuth2 bằng cách sử dụng Postman.
Đầu tiên, chúng ta cần cấu hình Postman cho xác thực OAuth2. Hãy làm theo các bước trong phần 2 để thiết lập URL ủy quyền OAuth2, URL token, client ID và client secret trong Postman.
Khi chúng ta đã cấu hình Postman cho xác thực OAuth2, chúng ta có thể lấy token truy cập bằng cách gửi một yêu cầu POST đến URL token với các tham số thích hợp. Các tham số cần thiết cho yêu cầu token phụ thuộc vào loại cấp quyền OAuth2 đang được sử dụng.
Ví dụ, nếu chúng ta đang sử dụng loại cấp quyền thông tin xác thực của khách hàng, chúng ta cần gửi một yêu cầu POST đến URL token với các tham số sau trong thân yêu cầu:
grant_type=client_credentials
client_id=<client_id>
client_secret=<client_secret>
Thay thế <client_id> và <client_secret> bằng các giá trị thực tế cho khách hàng OAuth2 của bạn.
Trong phần tiếp theo, chúng ta sẽ tìm hiểu cách sử dụng token truy cập OAuth2 để thực hiện các yêu cầu API trong Postman.
Cách sử dụng token truy cập OAuth 2.0 cho các yêu cầu API trong Postman?
Để sử dụng token truy cập OAuth2 cho các yêu cầu API trong Postman, bạn cần lấy token trước. Điều này có thể được thực hiện bằng cách cấu hình ủy quyền OAuth2 trong Postman.
Để làm điều này, hãy chuyển đến tab ủy quyền trong yêu cầu của bạn và chọn "OAuth 2.0" làm loại. Sau đó, nhấp vào "Get New Access Token" và điền vào các trường cần thiết, chẳng hạn như URL ủy quyền, URL token, client ID và client secret.
Ví dụ, nếu bạn đang sử dụng Business Central và muốn xác thực bằng OAuth2 trong Postman, bạn sẽ cần nhập URL ủy quyền là "https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize" và URL token là "https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token".
Khi bạn đã lấy được token truy cập, bạn có thể sử dụng nó trong các yêu cầu API của mình bằng cách thêm nó vào tiêu đề Authorization như một token Bearer.
Nếu bạn đang sử dụng alăng OAuth 2 thông tin xác thực của khách hàng, nơi mà chính khách hàng được ủy quyền để truy cập API, bạn có thể sử dụng loại cấp quyền "Client Credentials" trong Postman. Trong trường hợp này, bạn sẽ cần nhập client ID và client secret trong các trường thích hợp và chọn "Client Credentials" làm loại cấp quyền.
Dưới đây là một ví dụ về cách sử dụng token truy cập OAuth 2 trong Postman:
- Cấu hình ủy quyền OAuth 2 trong Postman bằng cách nhập thông tin cần thiết.
- Nhấp vào "Get New Access Token" để lấy token truy cập.
- Thêm token truy cập vào tiêu đề Authorization như một token Bearer.
- Thực hiện yêu cầu API của bạn bằng cách sử dụng token truy cập.
Bằng cách làm theo các bước này, bạn có thể dễ dàng xác thực các yêu cầu API của mình bằng cách sử dụng token truy cập OAuth2 trong Postman.
Cách sử dụng Apidog cho ủy quyền OAuth 2.0
Apidog là một nền tảng quản lý API mạnh mẽ hỗ trợ ủy quyền OAuth 2.0. Với Apidog, bạn có thể dễ dàng cấu hình và quản lý ủy quyền OAuth 2.0 cho các API của mình. Nó cho phép bạn xác định các phạm vi ủy quyền, thông tin xác thực của khách hàng và thời gian hết hạn của token. Apidog đơn giản hóa việc triển khai xác thực OAuth 2.0 an toàn trong các ứng dụng của bạn.
Ví dụ sau đây là một ví dụ về việc sử dụng ủy quyền OAuth 2.0 trong Apidog.
Bước 1. Mở Apidog và tạo một API mới. Chọn yêu cầu API mà bạn muốn thực hiện, chẳng hạn như GET, PUT, POST và nhập các trường mà bạn muốn truy cập.
Bước 2. Trong giao diện API, chuyển đến tab Auth và chọn OAuth 2.0.
Bước 3. Nhập giao diện ủy quyền (consumer key), giao diện token (access token), client ID (access token), và client secret (token secret) của giao diện API.
Bước 4. Lưu thay đổi và kiểm tra API.
Câu hỏi thường gặp về OAuth 2.0
Cách sử dụng OAuth 2.0 trong API?
OAuth 2.0 được sử dụng trong các API để xác thực và ủy quyền các ứng dụng bên thứ ba truy cập tài nguyên được bảo vệ thay mặt cho người dùng. Quy trình này bao gồm việc gửi một yêu cầu ủy quyền đến nhà cung cấp OAuth 2.0, nơi mà người dùng phê duyệt quyền truy cập, và một token truy cập được tạo ra mà khách hàng có thể sử dụng để truy cập các tài nguyên được bảo vệ.
OAuth 2.0 hoạt động như thế nào trong API?
OAuth 2.0 tách ủy quyền khỏi xác thực. Một ứng dụng khách gửi một yêu cầu ủy quyền đến nhà cung cấp OAuth 2.0, nhà cung cấp xác thực ứng dụng khách và yêu cầu người dùng cấp quyền. Nếu được cấp, nhà cung cấp tạo ra một token truy cập mà khách hàng có thể sử dụng để truy cập các tài nguyên được bảo vệ.
Sự khác biệt giữa OAuth 1.0 và OAuth 2.0 trong Postman là gì?
Sự khác biệt chính giữa OAuth 1.0 và OAuth 2.0 trong Postman là OAuth 2.0 cung cấp hỗ trợ tốt hơn cho các ứng dụng di động và web với quy trình ủy quyền được tối ưu hóa và an toàn hơn. OAuth 2.0 cũng sử dụng SSL/TLS cho giao tiếp, làm cho nó an toàn hơn.