postman工具是什么?
postman工具是什么?
Postman是一款商業(yè)化軟件,在API的研發(fā)管理中被廣泛使用于API設(shè)計(jì)、API構(gòu)建、API測(cè)試等工作環(huán)節(jié)。當(dāng)然,它也同樣適用于API安全測(cè)試和管理。
Postman是由Postman公司開發(fā)的界面友好的API開發(fā)協(xié)作軟件,不同的使用者通過簡(jiǎn)單的配置即可開展工作,并且其具備的自動(dòng)化集成、批量操作、腳本定制等功能,使得其在API軟件市場(chǎng)占有很大的比重。
postman的特點(diǎn):
- 多平臺(tái)的客戶端支持,讀者可以從其官網(wǎng)下載macOS、Windows(32位/64位)、Linux(32位/64位)不同平臺(tái)的客戶端軟件,通過簡(jiǎn)單的安裝即可使用。目前,Postman提供免費(fèi)版和企業(yè)版兩種版本,大多數(shù)情況下,免費(fèi)版即可滿足讀者的日常使用。
- 方便的自動(dòng)化集成,Postman支持命令行調(diào)用和API調(diào)用的方式,與CI/CD管道工具進(jìn)行集成。比如在CI中安裝Newman工具,即可以調(diào)用本地或服務(wù)器端的API集合。
- 豐富的管理功能,Postman提供個(gè)人空間管理、團(tuán)隊(duì)協(xié)作API管理、SAAS服務(wù)與SSO集成管理等,加上其完善的在線文檔,為用戶的使用提供了極大的幫助。
- 友好的腳本定制,Postman支持多種形式的腳本定制功能,比如pre-request腳本、多語言編碼,這些功能為不同場(chǎng)景下的API測(cè)試提供了批量操作、自動(dòng)化操作的入口。
在理解Postman的工作原理之前,先來了解一些基本的概念,這樣便于更好的理解Postman安全測(cè)試的過程。
- Collections(集合):集合是Postman采用分組的方式,將一組相似的API請(qǐng)求歸類,但每一個(gè)API請(qǐng)求可以設(shè)置相應(yīng)的header、body、URL參數(shù)、授權(quán)方式及配置。
- Runner(運(yùn)行器):Runner是Postman特有的模塊,當(dāng)讀者使用Runner時(shí),其實(shí)是執(zhí)行集合中的每一個(gè)API請(qǐng)求。Runner充當(dāng)管理者的角色,對(duì)所有的API請(qǐng)求進(jìn)行調(diào)度、編排,達(dá)到流程化的目的。
- Variables(變量):Postman中的變量和軟件開發(fā)中變量類似,它也有不同的作用域,比如全局變量、集合變量、環(huán)境變量、本地變量等,這些變量的值,讀者可以采用程序編碼的方式,通過讀取URL參數(shù)、HTTP請(qǐng)求、本地文件等操作進(jìn)行賦值。
- Environments(環(huán)境):Postman中的環(huán)境是指API請(qǐng)求的上下文,通常以鍵值對(duì)的方式存儲(chǔ)數(shù)據(jù)。
- Pre-Request Script(預(yù)請(qǐng)求腳本):預(yù)請(qǐng)求腳本主要用于設(shè)置API請(qǐng)求中的數(shù)據(jù)、變量,比如通過預(yù)請(qǐng)求腳本可以獲取Environments中的數(shù)據(jù),設(shè)置各種Variables變量值。
- Test Script(測(cè)試腳本):測(cè)試腳本在從服務(wù)器收到Response后才開始執(zhí)行,其主要用來設(shè)置變量值、判斷響應(yīng)是否符合預(yù)期。比如檢查Response的body中是否包含payload返回的字符串、HTTP狀態(tài)碼,HTTP Header是否包含關(guān)鍵字等。