- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
当使用 Postman 通过授权代码获取访问 token 时,我需要输入的字段之一是 Callback URL
,也就是在向授权端点发出请求时的重定向 URI 查询参数。我知道这个 URL 需要在 OAuth 提供程序中注册/列入白名单,但我的问题是 postman 如何实际处理/拦截该请求/重定向回基于本地主机的请求?例如,如果我已经在 http://locahost:8090 上运行了一个本地服务器,并且我告诉 postman 使用 http://localhost:8090 进行该回调,那么 postman 最终如何看到该请求/重定向回(到交换访问 token 的身份验证代码)而不是我的本地 Web 服务器处理该请求?
最佳答案
TL;DR: Postman 在处理响应时基本上会忽略回调 URL。
长篇大论
它确实需要它,但仅用于请求。正如您所说,它需要是正确的 - 与 IdP 客户端应用程序配置完全匹配 - 但仅此而已。
postman 只是帮助您获取 token ,它不需要将其提供给消费应用程序,这是重定向 URL 的全部意义 - 客户端应用程序和 OAuth 客户端应用程序已知的静态路径,可确保恶意网站/中介不会通过滥用重定向流来窃取 token 。
由于它不适用于 Internet 上的浏览器,因此 Postman 可以忽略重定向。一旦 IdP 用 token 响应,就 Postman 而言,就可以了。它可以将 token 保存在本地 token 存储中并使用它来发出 API 请求。
隐式流
这被设置为从 Okta 端点获取 token :
当我单击“请求 token ”时, postman 发出如下请求:
GET https://exampleendpoint.okta.com/oauth2/default/v1/authorize?nonce=heythere&response_type=token&state=state&client_id={the_client_id}&scope=profile%20openid&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Fimplicit%2Fcallback
Postman 弹出浏览器以向
/authorize
端点发出此请求,然后 IdP 在该端点创建 token (如果浏览器已有 cookie),或执行各种重定向以验证用户身份,然后创建 token 。
302
Location: http://localhost:8080/implicit/callback#access_token=eyJraWQiOiJxOGRmTGczTERCX3BEVmk4YVBrd3JBc3AtMFU1cjB6cXRUMFJveFZRUVVjIiwiYWxnIjoiUlMyNTYifQ.{the_rest_of_the_token}&token_type=Bearer&expires_in=3600&scope=profile+openid&state=state
此时 Postman 从 #access_token 参数中获取 token ,就可以开始了。
GET https://exampleendpoint.okta.com/oauth2/default/v1/authorize?nonce=heythere&response_type=code&state=state&client_id={client_id}&scope=profile%20openid&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Fimplicit%2Fcallback&code_challenge=E7YtiHqJRuALiNL_Oc5MAtk5cesNh_mFkyaOge86KXg&code_challenge_method=S256
Postman 将弹出浏览器(如果需要,IdP 将通过登录重定向它)
location
header 包含代码而不是 token :
location: http://localhost:8080/implicit/callback?code=J3RlQqW122Bnnfm6W7uK&state=state
所以现在客户端需要调用“访问 token URL”字段中定义的端点来获取 token :
POST https://exampleendpoint.okta.com/oauth2/default/v1/token
Body:
grant_type: "authorization_code"
code: "J3RlQqW122Bnnfm6W7uK"
redirect_uri: "http://localhost:8080/implicit/callback"
code_verifier: "Fqu4tQwH6bBh_oLKE2zr0ijArUT1pfm1YwmKpg_MYqc"
client_id: "{client_id}"
client_secret: ""
响应是一个很好的旧 200 不重定向 - 授权调用将客户端发送回最终重定向登录页面,POST 只是一个普通请求,响应中带有 token
{"token_type":"Bearer","expires_in":3600,"access_token":"eyJraWQiOiJxOGRmTGczTERCX3BEVmk4YVBrd3JBc3AtMFU1cjB6cXRUMFJveFZRUVVjIiwiYWxnIjoiUlMyNTYifQ.*******","scope":"profile openid","id_token":"eyJraWQiOiJxOGRmTGczTERCX3BEVmk4YVBrd3JBc3AtMFU1cjB6cXRUMFJveFZRUVVjIiwiYWxnIjoiUlMyNTYifQ.********"}
关于postman - Postman 如何处理 localhost OAuth 2 重定向?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62760501/
我正在尝试使用谷歌浏览器的 Trace Event Profiling Tool分析我正在运行的 Node.js 应用程序。选择点样本后,我可以在三种 View 之间进行选择: 自上而下(树) 自上而
对于一个可能是菜鸟的问题,我们深表歉意,但尽管在 SO 上研究了大量教程和其他问题,但仍找不到答案。 我想做的很简单:显示一个包含大量数据库存储字符串的 Android ListView。我所说的“很
我已经开始了一个新元素的工作,并决定给 Foundation 5 一个 bash,看看它是什么样的。在创建带有水平字段的表单时,我在文档中注意到的第一件事是它们使用大量 div 来设置样式。所以我在下
我有一个 Windows 窗体用户控件,其中包含一个使用 BeginInvoke 委托(delegate)调用从单独线程更新的第 3 方图像显示控件。 在繁重的 CPU 负载下,UI 会锁定。当我附加
我有一堆严重依赖dom元素的JS代码。我目前使用的测试解决方案依赖于 Selenium ,但 AFAIK 无法正确评估 js 错误(addScript 错误不会导致您的测试失败,而 getEval 会
我正在制作一款基于滚动 2D map /图 block 的游戏。每个图 block (存储为图 block [21][11] - 每个 map 总共 231 个图 block )最多可以包含 21 个
考虑到以下情况,我是前端初学者: 某个 HTML 页面应该包含一个沉重的图像(例如 - 动画 gif),但我不想强制客户缓慢地等待它完全下载才能享受一个漂亮的页面,而是我更愿意给他看一个轻量级图像(例
我正在设计一个小软件,其中包括: 在互联网上获取资源, 一些用户交互(资源的快速编辑), 一些处理。 我想使用许多资源(它们都列在列表中)来这样做。每个都独立于其他。由于编辑部分很累,我想让用户(可能
我想比较两个理论场景。为了问题的目的,我简化了案例。但基本上它是您典型的生产者消费者场景。 (我关注的是消费者)。 我有一个很大的Queue dataQueue我必须将其传输给多个客户端。 那么让我们
我有一个二元分类问题,标签 0 和 1(少数)存在巨大不平衡。由于测试集带有标签 1 的行太少,因此我将训练测试设置为至少 70-30 或 60-40,因此仍然有重要的观察结果。由于我没有过多地衡量准
我是一名优秀的程序员,十分优秀!