Apifox 帮助文档
帮助文档
常见问题
Apifox 官网
私有化部署
开发者中心
开放 API
更新日志
Road Map
Apifox Markdown
下载
下载 Apifox
下载 IDEA 插件
下载浏览器扩展
Apifox Web 版
帮助文档
常见问题
Apifox 官网
私有化部署
开发者中心
开放 API
更新日志
Road Map
Apifox Markdown
下载
下载 Apifox
下载 IDEA 插件
下载浏览器扩展
Apifox Web 版
什么是 OAuth 2.0
复制页面
帮助中心
更新日志
入门
产品介绍
联系我们
私有化部署
开始使用
下载 Apifox
注册与登录
页面布局
基本概念
快速上手
概述
新建接口
发送接口请求
快捷请求
添加断言
新建测试场景
分享 API 文档
了解更多
基础知识
接口基本信息
请求 URL 与方法
请求参数与请求体
请求头
请求参数编码解码
HTTP/2
认证与授权
概述
支持的授权类型
Digest Auth
OAuth 1.0
OAuth 2.0
Hawk Authentication
Kerberos
NTLM
Akamai EdgeGrid
CA 和客户端证书
响应与 Cookie
概述
API 响应
创建和发送 Cookie
实际请求
提取响应示例
请求代理
网页端中的请求代理
分享文档中的请求代理
客户端中的请求代理
API Hub
API Hub
导入导出数据
概述
手动导入
定时导入
导入设置
导出数据
其它方式导入
导入 OpenAPI/Swagger
导入 Postman
导入 Apipost
导入 Eolink
导入 cURL
导入 Markdown
导入 Insomnia
导入 apiDoc
导入 .har 文件
导入 knife4j
导入 NEI
导入小幺鸡(docway)
导入 Apizza
导入 WSDL
设计 API
概述
新建 API 项目
接口基础知识
请求体多示例配置
响应组件
常用字段
全局参数
历史记录
批量管理
数据模型
概述
新建数据模型
构建数据模型
通过 JSON 等生成
高级数据类型
鉴权组件
概述
创建鉴权组件
使用鉴权组件
在线文档中的鉴权组件
高级功能
接口字段
接口状态
关联测试场景
参数列表外观
接口唯一标识
开发和调试 API
概述
生成请求
发送请求
请求历史
接口用例
动态值
校验响应
文档模式/调试模式
生成代码
环境和变量
概述
全局/环境/临时变量
环境与服务
Vault Secrets(密钥库)
功能简介
前后置操作&脚本
概述
断言
提取变量
等待时间
数据库操作
概述
MySQL
MongoDB
Redis
Oracle
使用脚本
概述
前置脚本
后置脚本
公共脚本
pm 脚本 API
使用 JS 类库
响应数据可视化
调用外部程序
脚本示例
断言示例
脚本使用变量
脚本读取/修改接口请求信息
常见问题
如何获取动态参数的真实值并加密?
脚本运行后,提取的数字(bigint)精度丢失应该如何处理?
API 调试
GraphQL 调试
WebSocket 调试
Socket.IO 调试
SSE 调试
SOAP/WebService
gRPC 调试
使用请求代理调试
Dubbo 调试
新建 Dubbo 接口
调试 Dubbo 接口
Dubbo 接口文档
TCP(Socket)
Socket 接口功能简介
报文数据处理器
Mock 数据
概述
智能 Mock
自定义 Mock
Mock 优先级
Mock 脚本
云端 Mock
自托管 Runner Mock
自动化测试
概述
编排测试场景
新建测试场景
测试步骤间传递数据
测试流程控制条件
从接口/用例同步数据
跨项目导入接口/用例
导出测试场景数据
运行测试场景
运行测试场景
批量运行测试场景
数据驱动测试
定时任务
管理其它项目接口的运行环境
测试报告
测试报告
API 测试
集成测试
性能测试
端到端测试
回归测试
Apifox CLI
概述
安装和运行 CLI
CLI 命令选项
CI/CD
概述
与 Jenkins 集成
与 Gitlab 集成
与 Github Actions 集成
与其它更多 CI/CD 平台集成
发布 API 文档
概述
快捷分享
查看 API 文档
发布文档站
页面布局设置
自定义域名
AI 相关特性
SEO 设置
高级设置
文档站搜索设置
跨域代理
文档站接入 Google Analytics
文档左侧目录设置
文档可见性设置
在线 URL 链接规范
API 版本
创建 API 版本
发布 API 版本
快捷分享 API 版本
功能简介
迭代分支
功能简介
新建迭代分支
在迭代分支中改动 API
在迭代分支中测试 API
合并迭代分支
管理迭代分支
管理中心
入驻清单
了解基本概念
团队入驻
管理团队
团队基本操作
团队成员管理
成员角色与权限设置
团队资源
通用 Runner
请求代理 Agent
团队变量
实时协作
团队协作
管理项目
项目基本操作
项目成员管理
通知设置
功能简介
通知对象
通知事件
项目资源
数据库连接
管理组织
单点登录(SSO)
功能简介
为组织配置单点登录
管理用户账号
将组映射到团队
Microsoft Entra ID
SCIM 用户管理
功能简介
Microsoft Entra ID
组织资源
自托管 Runner
IDEA 插件
快速上手
生成接口文档
生成数据模型
配置
全局配置
项目内配置
可配置规则
脚本工具
Groovy 本地扩展
进阶配置
注释规范说明
框架支持
常见问题
常见问题
浏览器扩展
Chrome
Microsoft Edge
Apifox MCP Server
概述
通过 MCP 使用 Apifox 项目内的 API 文档
通过 MCP 使用公开发布的 API 文档
通过 MCP 使用 OpenAPI/Swagger文档
最佳实践
概述
接口之间如何传递数据
登录态(Auth)如何处理
接口签名如何处理
如何加密/解密接口数据
Jenkins 定时触发任务
如何计算 AI 问答成本
与其他成员共用数据库连接配置
通过 CLI 运行包含云端数据库连接配置的测试场景
通过 Runner 运行包含云端数据库连接配置的测试场景
Apifox 测试步骤之间怎么传递数据?
账号&应用设置
账号设置
API 访问令牌
语言设置
快捷键
网络代理
数据备份与恢复
更新 Apifox
实验性功能
身份验证 & Auth 鉴权指南
什么是 API Key
什么是 Bearer Token
什么是 JWT
什么是 Basic Auth
什么是 Digest Auth
什么是 OAuth 1.0
什么是 OAuth 2.0
什么是 OAuth 2.0
授权码授权类型
授权码授权类型,带有 PKCE
隐式授权类型
密码凭证授权类型
客户端凭证授权类型
服务与隐私协议
服务协议
隐私协议
服务等级协议
参考资料
API 设计优先理念
JSON Schema 介绍
JSONPath 介绍
XPath 介绍
Apifox Markdown 语法
CSV 格式规范
正则表达式
安装 Java 环境
Runner 运行环境
常见编程语言对应的数据类型
Socket 粘包和分包问题
词汇表
目录链接汇总
Apifox Swagger 扩展
概述
x-apifox-folder
x-apifox-status
x-apifox-name
x-apifox-maintainer
Apifox JSON Schema 扩展
概述
x-apifox-mock
x-apifox-orders
x-apifox-enum
动态值表达式
常见问题
什么是 OAuth 2.0
复制页面
什么是 OAuth 2.0
OAuth 2.0 是一种授权框架,允许你授权第三方应用程序(比如某个网站)访问你在另一个服务(比如微信)上的受保护信息,而无需提供登录凭据。它以有限的方式允许第三方代表你访问受保护的资源,如照片或个人资料。举个例子,当你用微信扫码登录一个网站时,你授权该网站访问你的个人信息,这即是 OAuth 2.0 的运作方式。OAuth 2.0 的规范在
RFC 6749
中定义了其工作原理和规则。
OAuth 2.0 角色
#
OAuth 2.0 定义了四种角色,分别是:
资源所有者(Resource Owner):通常是用户,拥有受保护的资源,例如图片、个人资料等。
客户端(Client):第三方应用程序,想要访问资源所有者的受保护资源。
授权服务器(Authorization Server):负责认证资源所有者并授权客户端访问资源的服务器。
资源服务器(Resource Server):托管受保护资源的服务器,提供访问受保护资源的 API。
OAuth 2.0 授权流程
#
以下所示的 OAuth 2.0 流程描述了四个角色之间的交互:
当客户端应用程序需要访问受保护的资源,但又不希望直接向资源所有者索取凭证时,就会使用 OAuth 2.0 框架。以下是每个步骤的具体解释:
1.
Authorization Request (步骤 A)
:
客户端应用程序向资源所有者发出授权请求,请求访问特定的资源。通常,这是通过用户界面(如登录页面)实现的,用户需要登录并授予访问权限。
2.
Authorization Grant (步骤 B)
:
资源所有者同意授权请求后,授权服务器将颁发一个授权凭证,即授权码(Authorization Grant),给客户端。这个授权码是客户端用来向授权服务器获取访问令牌的凭�据。
3.
Authorization Grant -> Access Token (步骤 C)
:
客户端应用程序将授权凭证(授权码)发送给授权服务器,并请求访问令牌。
授权服务器验证客户端的身份和授权凭证的有效性。一旦验证通过,授权服务器会颁发一个访问令牌给客户端。
4.
Access Token (步骤 D)
:
授权服务器发放的访问令牌代表了客户端应用程序被授权访问资源的权限。访问令牌通常具有特定的过期时间,并且可能�包含有关访问权限范围的信息。
5.
Access Token -> Protected Resource (步骤 E)
:
客户端使用获取到的访问令牌向资源服务器发送访问请求。
资源服务器接收到访问请求后,会验证访问令牌的有效性和权限。如果访问令牌有效且具有足够的权限,则资源服务器会提供受保护的资源给客户端。
6.
Protected Resource (步骤 F)
:
资源服务器根据访问令牌的权限,向客户端提供所请求的受保护资源。这可能是用户的数据、照片、视频或其他类型的资源。
通过这个流程,OAuth 2.0 使得客户端应用程序能够以一种安全且受控的方式访问受保护的资源,同时又不需要用户直接提供他们的凭证。
OAuth 2.0 授权类型
#
OAuth 2.0 授权框架支持多种不同的授权流程(称为 Authorization Flow 或 Authorization Type),流程(Flow)是获取访问令牌的方式,采用哪种流程主要取决于你的应用程序类型。OAuth 2.0 定义了常见的几种授权类型,它们分别是:
授权码授权类型(Authorization Code Grant Type)
适用场景:用于 Web 应用程序,需要在安全的服务器端存储客户端密钥。
工作原理:客户端重定向用户到授权��服务器,用户登录并授权后,授权服务器返回授权码给客户端,客户端使用授权码与客户端凭证交换访问令牌。
授权码授权类型,带有 PKCE (Authorization Code Grant Type,With PKCE)
适用场景:用于公共客户端(如移动应用和单页应用),PKCE 的主要目的是防止授权码被截获并被恶意使用。
工作原理:与标准授权码模式相同,但客户端需要使用 PKCE(Proof Key for Code Exchange)来增强安全性。该类型的规范在
RFC 7636
中定义。
隐式授权类型(Implicit Grant Type)
适用场景:用于无法存储客户端密钥的前端应用程序,如单页应用。
工作原理:客户端直接从授权服务器获取访问令牌,而不是先获取授权码再交换访问令牌。
资源所有者密码凭证授权类型(Resource Owner Password Credentials Grant Type)
适用场景:用于信任客户端并且资源所有者有能力保护其凭据的情况,不建议在公共客户端使用。
工作原理:资源所有��者直接将用户名和密码提供给客户端,客户端使用这些凭据向授权服务器请求访问令牌。
客户端凭证授权类型(Client Credentials Grant Type)
适用场景:用于客户端自身作为资源的拥有者,并且无需用户参与授权的情况。
工作原理:客户端使用自身的凭据向授权服务器获取访问令牌,以访问自己拥有的资源。
如何在 Apifox 中使用 OAuth 2.0?
请参考:
认证与授权 - OAuth 2.0
上一页
什么是 OAuth 1.0
下一页
授权码授权类型
