Apidog 为 API 请求提供多种身份验证方法,使你能够保护集成并访问受保护的资源。本页面全面介绍了所有支持的授权类型,以及如何在 Apidog 中配置它们。你可以在请求的 Authorization 部分中,从 Type 菜单选择身份验证类型。身份验证可以应用于请求、文件夹或集合级别,让你能够灵活管理 API 工作区中的凭据。授权类型对比#
| 类型 | 使用场景 | 安全级别 | 常见应用 |
|---|
| Inherit from Parent | 复用父文件夹/集合的身份验证 | 不定 | 使用共享身份验证组织请求 |
| No Auth | 公共端点 | 无 | 健康检查、公共数据 |
| API Key | 简单的基于令牌的身份验证 | 中 | 内部 API、基础集成 |
| Bearer Token | 基于令牌的身份验证(JWT 等) | 中-高 | 现代 API、微服务 |
| JWT Bearer | 自生成 JWT 令牌 | 高 | 自定义 JWT 实现 |
| Basic Auth | 用户名/密码 | 低-中 | 旧版系统、简单身份验证 |
| Digest Auth | 加密的用户名/密码 | 中 | 相比 Basic Auth 提供增强安全性 |
| OAuth 1.0 | 委托授权(旧版) | 中 | Twitter API、旧版服务 |
| OAuth 2.0 | 现代委托授权 | 高 | Google、GitHub、Microsoft API |
| Hawk Authentication | 基于 HMAC 的身份验证 | 高 | 专用安全 API |
| NTLM | Windows 身份验证 | 中 | Microsoft 环境 |
| Akamai EdgeGrid | Akamai CDN 身份验证 | 高 | Akamai 服务 |
Inherit from Parent#
"Inherit from Parent" 是 Apidog 中的默认身份验证类型。当请求的身份验证类型设置为 "Inherit from Parent" 时,它会继承其父文件夹的身份验证配置,并继续向上继承直到根文件夹。这样你只需在文件夹级别配置一次身份验证,即可自动应用到所有子请求。
No Auth#
如果不需要身份验证,Apidog 将不会包含任何授权信息。对于无需身份验证的请求,只需在 Authorization 选项卡中,从 Type 下拉菜单选择 No Auth。API Key#
对于 API key 身份验证,你需要在请求头部或查询参数中提供一个键值对。从 Type 选项中选择 API Key,输入你的键名和值,然后选择将其添加到 Headers 或 Query Params。Apidog 会自动将必要信息追加到你的请求 Headers 或 URL 查询字符串中。为增强安全性,请将 API key 存储在环境变量中,而不是硬编码到请求里。这可以防止其在版本控制或共享工作区中意外暴露。
Bearer Token#
Bearer token 身份验证(例如 JSON Web Tokens,JWT)会在请求头部中使用访问密钥。从 Type 列表中选择 Bearer Token,并在 Token 字段中输入你的 API key。Apidog 会按以下格式将令牌添加到 Authorization 头部:对于 "Bearer" 以外的自定义前缀,请使用 API Key 选项��,并将 "Authorization" 作为键名。
JWT Bearer#
Apidog 还支持直接在应用程序内生成 JWT 令牌。从 Type 选项中选择 JWT Bearer。Location:将令牌添加到 Request Header 或 Query Param
Algorithm:从带 SHA 的 HS、RS、ES 或 PS 变体中选择
Basic Auth#
Basic auth 会随请求发送已验证的凭据。从 Type 菜单中选择 Basic Auth,并输入你的 API 用户名和密码。Apidog 会包含一个 Authorization 头部,其中包含按以下格式对你的凭据进行 Base64 编码后的字符串:Basic <Base64 encoded username and password>
Basic Auth 使用 Base64 编码传输凭据,而 Base64 很容易被解码。使用 Basic Auth 时请始终使用 HTTPS,并考虑在生产环境中使用 OAuth 2.0 等更安全的替代方案。
其他授权类型#
NTLM - Windows NT LAN Manager 身份验证 