案例
笔者在进行token验证的时候碰到的问题
一般如果是进行token验证,大部分是在Headers下面添加token名称及token的值
这样:后端提取请求头的token即可
还有一种是,左侧选择Bearer Token,右侧添加token的值,后端传递的
大概是: 会多一个前缀Bearer
Authorization:Bearer eyJhbGciOiJIUzUxMiJ9.eyJsb2dpbl91c2VyX2tleSI6IjRkMzMyZDYxLTIwODMtNGQxNi05MjY1LWUyMmQyZGNlMWFiZSJ9.iXDoPWV9qSxiW95Zhb2cQy-OSvC9G5I3KBXL1Q--GfdXhaOwYNpThEDLRJDkIUqZU6gBKOXJPqQoJ-gGPeOmbw
1. Authorization(授权)
Authorization 选项是 Postman 提供的一个快捷方式,用于设置认证方式。常见的认证类型:
- No Auth(无认证)
- Bearer Token(JWT 认证)
- Basic Auth(用户名 + 密码)
- OAuth 1.0 / 2.0
- API Key(密钥认证)
- Digest Auth
示例:Bearer Token 认证
如果你的接口需要 JWT 令牌(Token),你可以这样设置:
- 选择 Authorization 选项卡。
- 选择 Bearer Token 认证方式。
- 在 Token 输入框填写 Token,比如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... - Postman 会自动在请求头中添加:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
📌 特点
- Postman 自动生成
Authorization头,不用手动填写。(当然后端提取token名称注意) - 支持多种认证方式(比如
OAuth 2.0会自动帮你获取Access Token)。
2. Headers(请求头)
Headers 是 HTTP 请求的头部信息,你可以手动添加各种自定义头,比如:
Authorization(手动添加 Token)Content-Type(数据类型,如application/json)User-Agent(客户端标识)Accept(服务器可接受的返回数据类型)
示例:手动添加 Token
如果你没有用 Authorization 选项,你也可以手动在 Headers 里添加:
| Key | Value |
|---|---|
| Authorization | Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... |
| Content-Type | application/json |
📌 特点
- 完全手动,适用于所有类型的请求头。
- 适用于自定义 Token 机制,比如一些 API 可能要求:
总结
| 功能 | Authorization | Headers |
|---|---|---|
| 作用 | 负责 身份验证 | 用于 设置所有请求头(包括但不限于认证) |
| 使用方式 | 选择认证方式,Postman 自动生成请求头 | 需要手动填写键值对 |
| 适用场景 | Bearer Token, Basic Auth, OAuth | 任何 HTTP 头,如 Content-Type、User-Agent |
| 是否自动化 | ✅ 自动化(OAuth 还能自动获取 Token) | ❌ 手动输入 |
| 是否必须使用 | ❌ 不是必须,可以改用 Headers 手动添加 | ✅ 所有请求都会有 Headers |
什么时候用 Authorization,什么时候用 Headers?
✅ 推荐使用 Authorization 选项:
- 你的 API 使用 Bearer Token、Basic Auth、OAuth 等标准认证方式。
- 你希望 Postman 自动帮你填充
Authorization头,简化操作。
✅ 使用 Headers 手动添加:
- 你的 API 使用 非标准的认证方式(比如
X-Auth-Token)。 - 你需要自定义多个请求头(不仅仅是
Authorization)。 - 你要测试不同的 User-Agent、Referer 等 HTTP 头。
🚀 实际开发建议
- 如果 API 需要 Bearer Token,最好在 Authorization 里填,这样 Postman 会自动处理请求头。
- 如果 API 需要 自定义 Token(如
X-Auth-Token),就在 Headers 里手动加。 - 对于
Content-Type: application/json这类头,一定要在Headers里设置。
👉 如果你在 Postman 里 Authorization 选了 Bearer Token,同时 Headers 里也手动加了 Authorization,那最终会使用 Headers 里的值(手动的会覆盖自动的)!
![[CISCN 2022 初赛]ezpop(没成功复现)](https://i-blog.csdnimg.cn/direct/6e88e42db94a4f86a814f57c989fca8c.png)
![[Windows] 轻量级景好鼠标录制器 v2.1 单文件版,支持轨迹+鼠标键盘录制复刻](https://i-blog.csdnimg.cn/direct/16ee1cbf2f1e4d399dc7ed48bcf73b64.png)
![网络安全信息收集[web子目录]:dirsearch子目录爆破全攻略以及爆破字典结合](https://i-blog.csdnimg.cn/direct/8723c67eafb447c6909893a91b17cf03.jpeg)
