在 POSTMAN 中保护生产 api 的客户端机密和客户端 ID
Protecting the client secrets and client id of production apis in POSTMAN
我公司在 保护 Azure Active Directory 客户端应用程序(aad 应用程序的客户端机密)和服务帐户(密码)的客户端机密和密码方面有严格的合规政策 .
然而,在生产中修复错误或复制生产代码问题或主动调试期间,我们需要通过传递来自 postman 或 fiddler 的这些凭据来调试生产代码。
将这些密钥保存在 Postman 中并通过生成 public url 进行共享是否安全?有什么办法可以将它从邮递员分享给一组特定的用户吗?或者有没有更好的方式与一组用户共享 API 请求。
您可以使用他们的电子邮件 ID 邀请某人加入邮递员工作区,共享 public collection url 是不安全的,任何拥有 url 的人都可以访问
其他方法是下载 collection 和环境 json 并发送 json 文件。
没有办法屏蔽秘密,因为即使你将它存储在变量中,秘密也会暴露在 postman 控制台中
https://learning.postman.com/docs/collaborating-in-postman/sharing/
邀请到工作区:
- 创建工作区:
- 邀请某人加入工作区
select 团队,输入您要邀请的用户的电子邮件 ID,点击添加,然后点击创建工作区。将向用户的电子邮件发送一封邮件,用户可以通过该邮件加入工作区。
- 现在将 collection 共享到该工作区或将环境共享到该工作区
我公司在 保护 Azure Active Directory 客户端应用程序(aad 应用程序的客户端机密)和服务帐户(密码)的客户端机密和密码方面有严格的合规政策 . 然而,在生产中修复错误或复制生产代码问题或主动调试期间,我们需要通过传递来自 postman 或 fiddler 的这些凭据来调试生产代码。 将这些密钥保存在 Postman 中并通过生成 public url 进行共享是否安全?有什么办法可以将它从邮递员分享给一组特定的用户吗?或者有没有更好的方式与一组用户共享 API 请求。
您可以使用他们的电子邮件 ID 邀请某人加入邮递员工作区,共享 public collection url 是不安全的,任何拥有 url 的人都可以访问
其他方法是下载 collection 和环境 json 并发送 json 文件。
没有办法屏蔽秘密,因为即使你将它存储在变量中,秘密也会暴露在 postman 控制台中
https://learning.postman.com/docs/collaborating-in-postman/sharing/
邀请到工作区:
- 创建工作区:
- 邀请某人加入工作区
select 团队,输入您要邀请的用户的电子邮件 ID,点击添加,然后点击创建工作区。将向用户的电子邮件发送一封邮件,用户可以通过该邮件加入工作区。
- 现在将 collection 共享到该工作区或将环境共享到该工作区
