cURL для импорта
Google Docs
сURL для импорта
Способы авторизации API Key NASA API (VPN) - Query Parameter https://api.nasa.gov/ curl --location 'https://api.nasa.gov/mars-photos/api/v1/rovers/curiosity/photos?earth_date=2015-6-3&api_key=DEMO_KEY' DaData API Key - Header https://dadata.ru/profile/#info https://dadata.ru/api/clean/address/...
О себе
Высшее образование - ОмГУ Ф.М. Достоевского, Физический факультет
6 лет была преподавателем по физике - с 2009-2015гг.
10 лет в тестировании - старт июнь, 2015г.
Проекты: Luxoft (Boeing, DHL, Drawback); Wiley (Wiley Online Library)
Сейчас Главный инженер по тестированию в Сбере (платформа ЕФС)
Веду блог по тестированию Protestinginfo, нравится собирать информацию по тестированию и делиться знаниями с людьми
Часто используемые токены при выполнении тестовых заданий
- Ключ API (API Key): добавляется пара ключ-значение в заголовок или в параметры HTTP-запроса через вкладку Authorization. Данный ключ разработчика API получаем на стороне тестируемого сервера.
- Токен на предъявителя (Bearer Token) – это веб-маркер JSON (JWT, JSON Web Token), который представляет собой текстовую строку, включенную в заголовок запроса, также получаем на стороне тестируемого сервера.
- Базовая аутентификация (Basic Auth) – отправка подтвержденного имени пользователя и пароля вместе с HTTP-запросом.
Практика на API Key через Parameter
Используемый сервис
https://api.nasa.gov/ (VPN в РФ)
API-ключи – это ключи шифрования для аутентификации пользователя в системе, по аналогии логина и пароля. Существует два вида ключей API (источник):
1. Публичный ключ (открытый) . Используется для шифрования данных при обращении приложения к серверу.
2. Секретный ключ (закрытый) . Известен только пользователю и владельцу сайта. Используется для расшифровки данных, отправленных приложением.
Практика на API Key для GoRest.co.in
Используемый сервис
Существуют разные способы отправки токена доступа:
- HTTP Basic Auth: токен доступа (access token) отправляется как имя пользователя.
- Query parameter: токен доступа отправляется как параметр запроса в URL-адресе API.
- Этот API поддерживает только «HTTP Bearer Tokens» и «аутентификацию по параметру запроса (Query parameter Auth)».
- OAuth 2: токен доступа получается потребителем с сервера авторизации и отправляется на сервер API через HTTP Bearer Tokens в соответствии с протоколом OAuth2. процесс получения токена упрощен: не нужно проходить сложную процедуру с client_id, client_secret, auth_url и т.д. Вы просто получаете готовый токен в своем личном кабинете.
Практика на API Key через Header
Используемый сервис
Практика Basic Auth МойСклад JSON API 1.2
Доступ к API МойСклад через Postman
Процесс аутентификации в два этапа: получение токена и его использование для запросов.
ШАГ 1: ПОЛУЧЕНИЕ ТОКЕНА ДОСТУПА
Этот шаг выполняется один раз, чтобы обменять ваши постоянные логин и пароль на временный ключ.
- Метод: POST
- Авторизация: Тип Basic Auth
- Username: ваш e-mail (логин) от МойСклад
- Password: ваш пароль от МойСклад
➡️ Результат: В ответе вы получите JSON с ключом. Скопируйте значение .
{
"access_token": "d9275a557879b32b8f3a3d2e61c7423b11e2f9ac"
}
ШАГ 2: ВЫПОЛНЕНИЕ ЗАПРОСОВ К API С ПОМОЩЬЮ ТОКЕНА
Теперь используйте полученный токен для доступа к любым данным
- Метод: GET (или любой другой, в зависимости от задачи)
- Авторизация: Тип Bearer Token
- Token: Вставьте сюда access_token, скопированный на Шаге 1.
➡️ Результат: Вы получите запрашиваемые данные (например, список контрагентов) в формате JSON.
Логин + Пароль ➔ [Basic Auth] ➔ Токен ➔ [Bearer Token] ➔ Любой запрос к API
Декодирование из формата Base64
Можно декодировать значение токена
curl --location --request POST 'https://api.moysklad.ru/api/remap/1.2/security/token' \
--header 'Authorization: Basic GTRtaW5Abm9fY29udGVudF90dzppPTVfTSFxWmgyUTVWTYM=' \
--header 'Accept-Encoding: gzip'
Практика на Bearer Token
Используемые сервисы
GoREST API
curl --location 'https://gorest.co.in/public/v2/users' \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer {{token}}'
МойСклад JSON API 1.2
curl --location 'https://api.moysklad.ru/api/remap/1.2/entity/product' \
--header 'Authorization: Bearer {{access_token}}' \
--header 'Cache-Control: no-cache'
Практика про JWT Bearer
https://postman-echo.com/post
Авторизация JWT-Auth
JWT-Auth: основной метод авторизации, используемый для большинства запросов. Для успешной аутентификации требуется заголовок Authorization: Bearer <jwt-token>.
JWT-токены можно расшифровать на специальных сайтах (например, jwt.io). Если вставить токен, можно увидеть его содержимое.
Например, при авторизации на демо-сайте можно перехватить запрос в инструментах разработчика (вкладка Network), скопировать токен из ответа сервера, вставить его на сайт для декодирования и увидеть информацию, которая в нем зашита (например, username: "demo").
Настройка OAuth 2.0 для Google в Postman
Настройка в Google Cloud для Google Docs API
Создание проекта, нажать New Project
Перейти в APIs & Services и выбрать Google Docs API, выбрать и включить
Выбрать Oauth content screen и перейти на вкладку Clients, нажать +Create Clients
Идентификатор клиента (Client ID):
Тип приложения: "Веб-приложение" (Web application).
В "Разрешенные URI перенаправления" добавляем URL Postman: https://oauth.pstmn.io/v1/callback
Получить Client ID и Client Secret для авторизации в Postman.
Ключевые шаги в мастере настройки:
Тип учетных данных:
Выбираем доступ к "Данным пользователя" (User data).
Экран согласия OAuth:
Заполняем название приложения и контакты.
Важно: На вкладке "Тестовые пользователи" добавляем свой Google email. Без этого авторизация не пройдет.
Результат:
Копируем и сохраняем сгенерированные Client ID и Client Secret. Они понадобятся на следующем шаге.
Опубликовать приложение, нажав Publish app
HTTP Метод: GET
Аутентификация: Требуется OAuth 2.0. Вам понадобится access_token.
Необходимые права (Scopes): Чтобы вызов сработал, ваш токен должен быть получен с одним из этих разрешений:
https://www.googleapis.com/auth/documents.readonly (только для чтения)
https://www.googleapis.com/auth/documents (полный доступ)
Результат: В случае успеха (код 200 OK), вы получите большой JSON-объект, описывающий всю структуру и содержимое документа: текст, заголовки, таблицы, изображения и т.д.
Настройка OAuth 2.0 для Google в Postman
Настройка Postman — Авторизация OAuth 2.0
Использовать полученные ключи для получения Access Token и выполнения первого запроса.
Данные для настройки OAuth 2.0 в Postman для Google Docs API
Эти параметры нужно ввести во вкладке Authorization -> Type: OAuth 2.0 в Postman.
Auth URL (Ссылка для авторизации)
https://accounts.google.com/o/oauth2/v2/auth- Это страница, на которую Postman перенаправит вас для входа в Google-аккаунт и выдачи разрешений.
Access Token URL (Ссылка для получения токена)
https://oauth2.googleapis.com/token- Эту ссылку Postman использует, чтобы обменять полученный код авторизации на сам токен.
Client ID и Client Secret
- Эти данные вы должны скопировать из вашего проекта в Google Cloud Console. Они уникальны для вашего приложения.
- Ссылка на консоль: https://console.cloud.google.com/apis/credentials
Scope (Права доступа)
https://www.googleapis.com/auth/documents.readonly(Если в будущем вам понадобится редактировать документы, используйте https://www.googleapis.com/auth/documents)
- Здесь нужно указать, к чему именно ваше приложение запрашивает доступ. Для метода documents.get вам нужен как минимум доступ на чтение.
- Вставьте эту ссылку:
Callback URL (URL для перенаправления)
- Важно: Убедитесь, что URL, который использует Postman, добавлен в список "Разрешенные URI перенаправления" в настройках вашего Client ID в Google Cloud Console.
- Чаще всего Postman использует стандартный URL: https://oauth.pstmn.io/v1/callback или предлагает свой.
Конфигурация нового токена
Вкладка Authorization, тип OAuth 2.0.Grant Type: Authorization CodeCallback URL: https://oauth.pstmn.io/v1/callback (поставить галочку ✅)Auth URL: https://accounts.google.com/o/oauth2/v2/authAccess Token URL: https://oauth2.googleapis.com/tokenClient ID / Client Secret: Вставьте значения, скопированные из Google Cloud.Scope (ВАЖНО!): https://www.googleapis.com/auth/documentsЭто право на чтение и редактирование документов.Client Authentication: Send as Basic Auth header
2. Получение токена
- Нажмите Get New Access Token.
- В браузере войдите под тем же Google-аккаунтом, что указывали в "тестовых пользователях".
- Проигнорируйте предупреждение о непроверенном приложении ("Дополнительные настройки" -> "Перейти...").
- Разрешите доступ.
- Вернитесь в Postman и нажмите Use Token.
3. Проверка работы
Метод: GET
Google Docs
сURL для импорта
Способы авторизации API Key NASA API (VPN) - Query Parameter https://api.nasa.gov/ curl --location 'https://api.nasa.gov/mars-photos/api/v1/rovers/curiosity/photos?earth_date=2015-6-3&api_key=DEMO_KEY' DaData API Key - Header https://dadata.ru/profile/#info https://dadata.ru/api/clean/address/...
Нажмите Send. В ответ должны прийти данные вашего документа
Создание и настройка приложения в VK
Часть 1: Подготовка — Создание и настройка приложения VK"Прежде чем мы откроем Postman, нам нужно получить учетные данные. Любое взаимодействие с API начинается с регистрации вашего приложения.
Шаг 1: Создание приложения
- Переходим в раздел для разработчиков: vk.com/apps?act=manage.
- Нажимаем кнопку "Создать приложение".
- Даем ему понятное название. Это название увидят пользователи, когда будут давать разрешение на доступ. Например, "Мой тестовый бот для вебинара".
- Создать предварительно тестовое сообщество
Подготовка: Создадим и настроим приложение в личном кабинете VK. Это наш "паспорт" для входа в мир VK API.
Авторизация: Пройдем весь путь OAuth 2.0 (Authorization Code Flow) прямо в интерфейсе Postman.
Результат: Получим заветный access_token и сразу же проверим его в деле, отправив тестовый запрос к API ВКонтакте."
Настройка OAuth 2.0 для VK в Postman
Проверка — Используем полученный токен
Сохраняем токен
Чтобы не копировать токен каждый раз, сохраним его в переменные окружения Postman.
- Создаем новое окружение (Environment), назовем его VK API.
- Создаем переменную vk_community_token и вставляем туда скопированный ключ.
- Сохраняем и выбираем это окружение как активное.
Авторизация VK ID (с PKCE) в Postman
Процесс авторизации VK ID с PKCE состоит из двух основных ручных шагов: Шаг А – получение временного code, и Шаг Б – обмен этого code на постоянный access_token.
Подготовка: Создание code_verifier и code_challenge
Как указано в документации, для этого процесса требуются два специальных кода:
code_verifier и code_challenge.- Перейдите на рекомендованный VK сервис: Online PKCE Generator Tool.
- На странице просто нажмите кнопку «Generate».
- Вы увидите два поля:
Code VerifierиCode Challenge. Скопируйте и сохраните оба значения в блокнот. Они понадобятся вам позже.
Шаг А: Получение временного code
Postman не поддерживает автоматическое получение
code из-за требования device_id, поэтому этот шаг выполняется вручную через браузер.- Сформируйте URL для авторизации, используя следующий шаблон и свои данные: https://id.vk.com/authorize?response_type=code&client_id=ВАШ_CLIENT_ID&redirect_uri=https://oauth.pstmn.io/v1/callback&scope=email%20phone&state=12345&code_challenge=ВАШ_CODE_CHALLENGE&code_challenge_method=S256
- Замените в шаблоне:
ВАШ_CLIENT_ID: на ID вашего приложения (например, 54024755) из кабинета id.vk.com.
ВАШ_CODE_CHALLENGE: на значение Code Challenge, которое вы сгенерировали на шаге подготовки.
- Вставьте готовую ссылку в адресную строку браузера и нажмите Enter.
- Войдите в свой аккаунт ВК и дайте разрешение.
- После перенаправления на пустую страницу Postman (
oauth.pstmn.io/v1/callback...), внимательно посмотрите на адресную строку браузера. Она будет выглядеть примерно так: https://oauth.pstmn.io/v1/callback?payload={"type":"code_v2","state":"12345","code":"КОД_КОТОРЫЙ_НАМ_НУЖЕН","device_id":"ID_УСТРОЙСТВА"}
- Скопируйте из этой строки два значения:
code(длинная строка из букв и цифр) иdevice_id(еще одна строка). Теперь у нас есть все для второго шага.
Шаг Б: Обмен code на access_token в Postman
Этот финальный шаг выполняется непосредственно в Postman.
- Откройте Postman и создайте НОВЫЙ запрос.
- Выберите тип запроса
POST.
- В поле для URL вставьте адрес из документации: https://id.vk.com/oauth2/auth
- Перейдите на вкладку Body и выберите тип
x-www-form-urlencoded.
- В таблице ниже заполните КЛЮЧ (KEY) и ЗНАЧЕНИЕ (VALUE) в точности по документации (Шаг 5):
Нажмите синюю кнопку «Send».
Результат
В окне ответа (Response) вы увидите JSON, соответствующий документации:
{
"access_token": "XXXXX",
"refresh_token": "XXXXX",
"id_token": "XXXXX",
"expires_in": 0,
"user_id": 1234567890,
"state": "12345",
"scope": "email phone"
}Выполнена авторизация по протоколу VK ID!
Отправка запроса "Получение данных пользователя" через vk id
Теперь вы можете взять
access_token из этого ответа и использовать его.
Повторение
Implicit Flow — это один из сценариев авторизации OAuth 2.0.
Ключевая особенность: Он полностью проходит на стороне клиента (в браузере пользователя) и не требует серверной части для обмена кодов на токен.
Как это работает (простыми словами):
- Пользователь переходит по специальной ссылке.
- ВК просит его авторизоваться и дать разрешение приложению.
- После согласия ВК перенаправляет пользователя обратно на ваш сайт, добавляя ключ доступа прямо в адресную строку.
Практика на mTLS - SBER API
mTLS (Mutual Transport Layer Security) — это протокол, основанный на TLS, но с усиленной безопасностью. Он обеспечивает взаимную аутентификацию, где клиент проверяет сервер, а сервер — клиента, используя сертификаты. Полное название в переводе означает «Взаимный TLS».
Принцип работы mTLS заключается в использовании двух пар сертификатов и, соответственно, двух закрытых ключей. Один закрытый ключ находится на сервере для расшифровки данных, зашифрованных открытым ключом клиента (как в обычном TLS). Второй закрытый ключ устанавливается на клиенте, и сервер также шифрует данные его открытым ключом при ответах. Таким образом, только клиенты, обладающие закрытым ключом для расшифровки данных, могут взаимодействовать с сервером. В этом и состоит основной смысл mTLS (источник).
Этот метод часто применяется в сфере финансовых технологий (финтеха). Для работы с mTLS вам выдают специальные файлы сертификатов (например, с расширением .p12, .pfx или keyfile/certfile). В Postman их необходимо настроить в разделе Settings → Certificates, указав путь к файлам и домен, для которого они должны применяться (например, тестовый стенд).
Примером использования mTLS может служить работа со Sber API, где для взаимодействия с API требуется клиентский сертификат в формате .p12.
Используемые сервисы:
https://api.developer.sber.ru/how-to-use/mc_certificates
https://api.developer.sber.ru/how-to-use/api_settings
Войти по SberId
создать пространство
Создать приложение
Подключить подписку в приложении unknown link
получить сертификат .p12 (для отправки запроса) и ключи Client ID и Client Secret (для входа в систему)
Практика на mTLS
Подготовка ваших сертификатов и ключей
Ваш файл .p12 — это контейнер, в котором "упакованы" ваш приватный ключ и сертификаты. Для работы большинству систем требуются эти компоненты в виде отдельных файлов.
Настройки вызова API
https://api.developer.sber.ru/how-to-use/api_settings
Действия:
- Откройте командную строку (терминал) в папке, где лежит ваш .p12 файл.
- Выполните следующие команды, заменив <имя_вашего_файла>.p12 на реальное имя вашего файла. Вам будет предложено ввести пароль от контейнера.
1. Извлекаем приватный ключ
winpty openssl pkcs12 -in <имя_вашего_файла>.p12 -nodes -nocerts -out private.key
2. Извлекаем ваш клиентский сертификат
winpty openssl pkcs12 -in <имя_вашего_файла>.p12 -clcerts -nokeys -out client_cert.crt
3. Извлекаем цепочку корневых сертификатов Сбербанка
winpty openssl pkcs12 -in <имя_вашего_файла>.p12 -cacerts -nokeys -chain -out cacerts.cer
Практика на SberAPI в Postman
Скачать установить минцифры
https://api.developer.sber.ru/how-to-use/mc_certificates
Настройка сертификатов в окне «Settings» перейти на вкладку «Certificates»;
Авторизация в систему, используя Client_id и Client_Secret, и получение токена
Отправка тестового бизнес-процесса с токеном
Краткая инструкция по использованию коллекции сервисов SandBox SberPay QR в Postman
https://api.developer.sber.ru/product/PlatiQR/doc/v1/QR_API_doc543
- Загрузка коллекции - импорт коллекции в Postman:
- Перейти в настройки Postman (File --> Import);
- В открывшемся окне "Import" нужно нажать на кнопку "Upload Files" и выбрать сохраненный файл коллекции "Mock коллекция SberAPI сертификат Минцифра.postman_collection.json" из директории и нажать на кнопку "Открыть";
- Для загрузки коллекции нужно нажать на кнопку "Import", для выхода нажать на кнопку "Cancel";
- Добавление сертификата - для использования коллекции нужно применить сертификат, полученный на портале для SandBox:
- Перейти в настройки Postman (File Settings);
- В окне «Settings» перейти на вкладку «Certificates»;
- Нажать на кнопку «Add Certificate»;
- В открывшемся окне нужно заполнить следующие поля:
- Host – mc.api.sberbank.ru:443;
- PFX file – добавить сертификат, выпущенный на портале;
- Passphrase – ввести пароль от сертификата;
- После заполнения полей нужно нажать на кнопку «Add»;
- Авторизационные данные - для авторизации запросов используется тип "Basic Auth":
- Во вкладке Authorization следует выбрать тип: Type = «Basic Auth»;
- В поле «Username» вводится client_id;
- В поле «Password» - client_secret.
- Переменные коллекции - используются в базовых сценариях для выполнения запросов без дополнительных манипуляций. При желании переменные можно изменить на валидные значения полей (валидность можно проверить в таблицах параметров запросов и ответов)
Практика на Auth from Cookie
Аутентификация через куки (cookies) отправляется через HTTP - заголовок "Cookie" вместе с HTTP-запросом.
Используемы сервис
