API鑒權是保證API安全性和可用性的一項重要措施。通過API鑒權，系統(tǒng)可以對用戶或者應用進行有效的身份認證和權限管理。

除了我們之前更新的 Basic Auth 鑒權插件，這次給大家?guī)?JWT 鑒權插件。

JSON Web Token是一種開放標準，可以讓服務器生成一個密鑰簽名的Token，該Token包含用戶、其角色和過期時間等信息。JWT Token會發(fā)送回客戶端，然后傳遞到后續(xù)的API請求中，以對接下來的操作進行認證和授權。

如何使用

在插件市場中找到 JWT 插件，安裝

安裝插件后，測試頁面選中鑒權，填入數(shù)據(jù)后會自動在請求信息中添加頭部 Authorization。

JWT 說明

Client Request

GET /security/somethings  HTTP/1.1
Authorization: Basic bmFtZTpwYXNzd29yZA==

包括:

頭部

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "name": "Postcat",
  "introduce": "An extensible API tool."
}

WT 規(guī)定了 7 個默認字段供開發(fā)者選用。

• iss (issuer)：簽發(fā)人
• exp (expiration time)：過期時間
• sub (subject)：主題
• aud (audience)：受眾，相當于接受者
• nbf (Not Before)：生效的起始時間
• iat (Issued At)：簽發(fā)時間
• jti (JWT ID)：編號，唯一標識

簽名 Signature

對于每種加密算法，簽名都對應的一個計算公式。例如 SHA256 加密算法的簽名如下：

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload) + "." +
Secret
)

后續(xù)我們還會繼續(xù)更新其他鑒權插件，歡迎關注！

Github:

https://github.com/Postcatlab/postcat

Gitee:

https://gitee.com/eolink_admin/postcat

關于 Postcat

Postcat 是開源的 API 管理工具，有 API 相關的核心功能，還有豐富的插件廣場，幫你快速地完成 API 的發(fā)布和測試功能。

1. API 文檔管理，可視化 API 設計，生成 API 文檔
2. API 測試， 自動生成測試參數(shù)，自動生成測試用例，可視化數(shù)據(jù)編輯
3. Mock，根據(jù)文檔自動生成 Mock,或創(chuàng)建自定義 Mock 滿足復雜場景
4. 插件拓展，眾多插件擴展產品功能，打造屬于你和團隊的 API 開發(fā)平臺
5. 團隊協(xié)作，既能實現(xiàn)API 分享也能可以創(chuàng)建云空間共同協(xié)作

1. 免登錄即可測試，省去繁瑣的驗證登錄的操作
2. 界面簡潔，沒有冗余的功能與復雜選項
3. 開源，免費，適合個人以及小團隊使用
4. 豐富的插件，支持數(shù)據(jù)遷移、主題、API 安全等高達 22 款插件
5. 國產，能更好的理解國內用戶的需求，溝通無障礙
6. 完善的用戶文檔，跟著操作就能快速上手