使用 Postman 调用 Azure AD 安全 API

安全 API 非常热门，但我们如何才能轻松地对其进行测试呢？如果您正在使用 Postman，那么这篇博文将向您展示如何配置和使用 Postman 来调用受 Azure AD 保护的 API。

安全 API 需要传递访问令牌。因此，Postman 在调用 API 时需要获取并使用访问令牌。如果请求中没有附加令牌，则很可能会收到 HTTP 401 错误（未认证）——这是正确的。如果您在请求中传递了访问令牌，但其权限范围不正确，并且您的 API 代码编写正确，则应该会收到 HTTP 403 错误（未授权）——这也是正确的。接下来，我们来看看如何使用 Postman 测试 API！

配置 Postman 的应用程序注册

为了使 Postman 能够获取访问令牌，它需要进行相应的 Azure AD 应用注册。在本节中，我们将配置 Azure AD 中的应用注册。如果您还没有 Azure AD（既然您正在阅读本文，我想应该还没有），您可以通过Microsoft 365 开发人员计划获得一个免费的完整 P1 Azure AD 租户。

登录到您的Azure AD 门户，导航到“应用注册”，然后单击“+ 新建注册”按钮。为应用指定一个有意义的名称，然后单击“注册”。

然后，打开“身份验证”选项卡并添加平台。选择“Web”作为平台。在“重定向 URI”中添加以下内容https://oauth.pstmn.io/v1/callback，然后单击“配置”。

我们还需要一个客户端密钥。请导航至“证书和密钥”选项卡并创建一个新的密钥。请务必复制密钥值，因为一旦您离开此选项卡，该密钥将失效（但您可以随时删除并重新创建）。

Postman 需要的信息

• 客户端 ID：可在“概览”选项卡中找到
• 客户端密钥：已在上一步中创建并复制。
• 身份验证 URL：在“概览”选项卡中，单击“端点”。
• 访问令牌 URL：在“概览”选项卡中，单击“端点”。
• 范围：例如api://279cfdb1-18d5-4fd6-b563-291dcd4b561a/weather.read

您可以在 Azure AD 的 API 应用注册中找到正确的范围 -> 打开“公开 API”选项卡 -> 复制范围

按照下图所示，复制授权和令牌端点的 v2 URL：

配置 Postman

现在我们已经具备在 Postman 中配置身份验证设置所需的一切。在 Postman 中，创建一个新的请求并导航到“授权”选项卡。接下来，按照下图所示填写字段，使用我们在上一节中收集的所有设置。

注意：您需要勾选“使用浏览器进行授权”复选框，并确保您的浏览器没有阻止任何弹出窗口。

现在我们可以测试配置了。在 Postman 中点击“获取新访问令牌”。如果配置正确，您应该会看到类似下方视频中的界面：

现在您可以使用 Postman 调用各种 API 端点。请注意，如果您需要为 API 的不同部分设置不同的作用域，则需要将它们添加到作用域中，作用域之间需要用空格分隔。

祝您在保护和测试 API 方面玩得开心！如果您有任何与身份验证或 Azure 相关的问题，请务必加入我们的Discord 。