API 鉴权是保障 API 安全性和可用性的一项重要措施。通过 API 鉴权,零碎能够对用户或者利用进行无效的身份认证和权限治理。
除了咱们之前更新的 Basic Auth 鉴权插件,这次给大家带来 JWT 鉴权插件。
JSON Web Token 是一种凋谢规范,能够让服务器生成一个密钥签名的 Token,该 Token 蕴含用户、其角色和过期工夫等信息。JWT Token 会发送回客户端,而后传递到后续的 API 申请中,以对接下来的操作进行认证和受权。
如何应用
在插件市场中找到 JWT 插件,装置
装置插件后,测试页面选中鉴权,填入数据后会主动在申请信息中增加头部 Authorization。
JWT 阐明
Client Request
GET /security/somethings HTTP/1.1
Authorization: Basic bmFtZTpwYXNzd29yZA==包含:
头部
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"name": "Postcat",
"introduce": "An extensible API tool."
}WT 规定了 7 个默认字段供开发者选用。
- iss (issuer):签发人
- exp (expiration time):过期工夫
- sub (subject):主题
- aud (audience):受众,相当于接受者
- nbf (Not Before):失效的起始工夫
- iat (Issued At):签发工夫
- jti (JWT ID):编号,惟一标识
签名 Signature
对于每种加密算法,签名都对应的一个计算公式。例如 SHA256 加密算法的签名如下:
HMACSHA256(base64UrlEncode(header) + "." +
base64UrlEncode(payload) + "." +
Secret
)后续咱们还会持续更新其余鉴权插件,欢送关注!
这个我的项目是开源的,感兴趣的话能够给我的项目 Star 和 fork 一下
Github:
https://github.com/Postcatlab/postcat
Gitee:
https://gitee.com/eolink_admin/postcat
对于 Postcat
Postcat 是开源的 API 管理工具,有 API 相干的外围性能,还有丰盛的插件广场,帮你疾速地实现 API 的公布和测试性能。
外围性能:
- API 文档治理,可视化 API 设计,生成 API 文档
- API 测试,主动生成测试参数,主动生成测试用例,可视化数据编辑
- Mock,依据文档主动生成 Mock, 或创立自定义 Mock 满足简单场景
- 插件拓展,泛滥插件扩大产品性能,打造属于你和团队的 API 开发平台
- 团队合作,既能实现 API 分享也能能够创立云空间独特合作
突出亮点:
- 免登录即可测试,省去繁琐的验证登录的操作
- 界面简洁,没有冗余的性能与简单选项
- 开源,收费,适宜集体以及小团队应用
- 丰盛的插件,反对数据迁徙、主题、API 平安等高达 22 款插件
- 国产,能更好的了解国内用户的需要,沟通无障碍
- 欠缺的用户文档,跟着操作就能疾速上手