使用Postman和JWT进行JHipster身份验证

Question

我一直在使用Postman in-tab扩展来测试调用JHipster资源API的调用，发现它工作得很好（JHipster设置使用OAuth2）。我使用JHipster登录页面进行了身份验证，然后打开了一个带有Postman扩展的新选项卡。

我刚刚将JHipster应用程序切换为使用JWT，这种使用Postman的方法不再有效，我在调用API时获得了许可。此外，Postman的标签内扩展程序已被弃用，以支持独立应用程序。

问题：是否有关于设置Postman以对JHipster / JWT进行身份验证的文档？

Answer 1

可以将Postman与JWT JHipster app一起使用。

1. 首先，使用JHipster应用程序进行身份验证
2. 检查Authorization标头的任何API请求。 JWT令牌是＆＃34; Bearer＆＃34;右边的值。您还可以在密钥jhi-authenticationToken下的浏览器的localStorage中找到此令牌。

3. 编辑Postman中的标题并添加Authorization标题。该值应如下所示：

   Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJydRkZWxsIiwiYXV0aCI6IlJPTEVfQURNSU4sUk9MRV9U0VSIiwiZXhwIjoxNDgzOTg1MDkzfQ.1A13sBvr3KDWxJQpKDKOS33KAVjWIb3mS_qfxLBOCq_LbMwNHnysAai0SNXXgudMOulAnXYN9_Mzlcv1_zctA
   

Answer 2

1. Make a POST request to /api/authenticate with the following body: {"password":"admin","username":"admin"}. You will receive the following response: {"id_token":"aabbccddeeff"}
2. Make your subsequent requests using the value of the token received in the previous call and put in into an Authorization: Bearer aabbccddeeff
3. You can check the status of the authentication, making a GET request to /api/authenticate endpoint

Answer 3

如果您已经部署了单个微服务，并且想要对其进行单独测试，则可以配置Postman使用预请求脚本来构建JWT令牌。

1. 转到JHipster生成的application-dev.yml文件并获取base64-secret值：

security:
    authentication:
        jwt:
            # This token must be encoded using Base64 and be at least 256 bits long (you can type `openssl rand -base64 64` on your command line to generate a 512 bits one)
            base64-secret: N2Y2MmFkNzg2ZTI4NTZiZGEwMTZhYTAzOTBhMjgwMzlkMzU2MzRlZjJjZDA2MzQ0NGMxOGFlZThjOWY0MjkzNGVlOGE3ZjkxZGI5ZTQxOGY3MjEwNWUwYTUxMTUxODYxY2U4ZWMzZjVhMjg0NTZkNzlhNWUyMmEyNjQ5NzkxZmI=

1. 将值放在Postman环境中名为jhipster_jwt_secret的变量中。

2. 配置您的请求前脚本（this is largely copied from a Gist）：

function base64url(source) {
    // Encode in classical base64
    encodedSource = CryptoJS.enc.Base64.stringify(source);

    // Remove padding equal characters
    encodedSource = encodedSource.replace(/=+$/, '');

    // Replace characters according to base64url specifications
    encodedSource = encodedSource.replace(/\+/g, '-');
    encodedSource = encodedSource.replace(/\//g, '_');

    return encodedSource;
}

var header = {
    "typ": "JWT",
    "alg": "HS256"
};

var payload = {
  "sub": "user",
  "auth": "role"
};

var secret = CryptoJS.enc.Base64.parse(postman.getEnvironmentVariable("jhipster_jwt_secret"));

// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);

// encode data
var stringifiedPayload = CryptoJS.enc.Utf8.parse(JSON.stringify(payload));
var encodedPayload = base64url(stringifiedPayload);

// build token
var token = encodedHeader + "." + encodedPayload;

// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;

postman.setEnvironmentVariable("jwt_token", signedToken);

1. 在“授权”标签中，选择“承载者令牌”，然后在令牌输入字段中输入{{jwt_token}}。

Answer 4

对我来说最简单的方法是

1. 使用管理员凭据登录到Jhipster Web应用

2. 选择管理> API

1. 然后选择任何现有的API并单击“试用”按钮

它将列出带有令牌的curl操作，现在您可以获取令牌并在邮递员中使用