Auth0 postman get access token

J’essaie d’utiliser Postman pour tester un service REST protégé à l’aide de jetons JWT récupérés à partir d’Auth0 (developer.auth0.com). Si j’entre les détails d’Auth0 dans Postman et que j’obtiens un jeton d’accès, je récupère les données de jeton d’accès suivantes :

résultat
→ succès access_token → t2YBYE...
id_token → eyJ0eX...
token_type → bearer#=

Pour accéder au service que je souhaite tester, je dois envoyer la valeur id_token dans un en-tête. Cependant, par défaut, Postman utilisera la valeur access_token et il n’est pas possible de choisir autrement.

Ce serait bien s’il était possible de choisir le jeton que vous souhaitez utiliser pour envoyer dans l’en-tête d’autorisation d’une manière ou d’une autre.

@sandeep_varma je ne connais pas très bien Auth0 mais j’aimerais mieux comprendre le problème auquel vous êtes confronté.

Pouvez-vous nous donner plus d’informations sur ce que vous faites exactement ? Ce qui m’intéresse le plus, c’est l’appel à Auth0 pour obtenir le JWT. J’essaie de résoudre le problème moi-même, mais comme je l’ai mentionné, je ne connais pas Auth0 et comment ils créent le

Thx

, j’utilise postman pour générer le jeton AuthO. J’utilise Oauth 2.0 pour générer que lorsque je clique sur Obtenir un nouveau jeton d’accès et que j’entre toutes les informations requises, il génère à la fois un jeton d’accès et Id_token alors que dans mon cas, Id_token jeton JWT id. Je veux le copier à mon autorisation, mais je ne suis pas en mesure de le faire à chaque fois qu’il copie le jeton d’accès. Il serait utile pour moi de savoir comment je peux copier id_token

@sandeep_varma Je pense que je comprends ce que vous essayez de faire.
Pouvez-vous me fournir un échantillon du corps de la réponse de cet appel d’authentification ? Il suffit de supprimer ou de modifier les données, je n’ai vraiment besoin que de schématiser ce qui est renvoyé.

@tmccann, je pense que Sandeep et moi essayons un flux de travail similaire.

Lorsque vous configurez postman pour obtenir un jeton d’accès Oauth 2, vous pouvez assez facilement le configurer pour qu’il demande un jeton d’accès à Auth0. Il s’agit d’un flux de travail très courant avec une configuration JWT pour spécifier la portée en tant que « profil de messagerie openid » comme dans ma capture d’écran ci-dessous afin que vous récupériez un JWT.

Lorsque vous faites cela, dans la deuxième capture d’écran, vous pouvez voir que postman a un champ pour « Access Token » et un autre pour « id_token ». Le « id_token » est le JWT, qui est génial, et semble très proche de ce dont nous avons besoin. Cependant, il ne semble pas y avoir de moyen d’utiliser le « id_token » dans l’en-tête d’autorisation plutôt que le « jeton d’accès » qu’il utilise par défaut. Je ne pense pas que ce problème soit spécifique à Auth0, mais AWS Cognito et presque tous les services utilisant Oauth 2 avec des JWT auront une implémentation similaire.

J’aimerais aussi cette capacité. Je peux copier la valeur de la id_token à partir de la fenêtre modale de gestion des jetons d’accès et la coller dans le champ de texte du jeton et Postman l’envoie en tant que jeton du porteur, ce qui fonctionne mais n’est pas aussi pratique que d’avoir une option pour configurer PM pour utiliser id_token ou pour effectuer une action alternative à la place de « Utiliser le jeton » pour utiliser id_token au lieu du jeton d’accès.

Je suis confronté au même problème avec .

Et vous les gars Comprendre comment utiliser automatiquement EXCEPT ?

Peut-être que l’équipe Postman peut ajouter la case à cocher « Utiliser le jeton d’identification » ou sth.

J’ai le même problème, c’est extrêmement gênant. Je ne veux pas faire de copier-coller, mais l’utiliser correctement.
L’équipe de Postman entend nos prières et nous répond.

Oui. Si les jetons gérés étaient disponibles en tant que variables, ce serait formidable. Par exemple

{{managedTokens.tokenName.id_token}}

Actuellement confronté au même problème. Si plusieurs types de jetons sont renvoyés, j’aimerais sélectionner celui à utiliser et ne pas simplement prendre le jeton d’accès.

S’il y a une raison plausible de ne pas mettre cela en œuvre, alors faites-le nous savoir.

Même problème ici, des nouvelles sur ce sujet ?

L’équipe Postman pourrait ajouter une option pour sélectionner le jeton que nous voulons fournir sur Bearer sur nos appels d’API, dans ce cas en ayant la possibilité de sélectionner le id_token au lieu du jeton d’accès.

J’aimerais aussi cette fonctionnalité. C’est ennuyeux que je doive copier l’IdToken de la réponse et le coller dans un BearerToken. J’aimerais que PostMan propose une solution sur le jeton à utiliser.

+1

Ne pourrait-il pas y avoir une liste déroulante dans cette ligne, pour sélectionner la propriété de la réponse d’authentification à utiliser ?

Ça ! Pour diverses raisons, nous avons besoin d’accéder aux jetons gérés dans les scripts via des variables.

Comme je le vois, il n’y a pas de progrès sur ce sujet depuis l’année dernière et je ne vois aucune intention de la part de l’équipe d’ajouter cette fonctionnalité. Y a-t-il quelque chose qui vous empêche de le faire ou qui nécessite des recherches supplémentaires ?
J’aimerais aider autant que possible car cela semble être une fonctionnalité simple et très puissante prête à l’emploi...

EDIT :
Se pourrait-il qu’il ne s’agisse que d’une fonctionnalité payante, donc l’équipe de Postman ne l’ajoute pas ?

EDIT 2 :
Pour ceux qui ont besoin d’une solution de contournement automatisée, voici un lien vers un script de pré-demande, qui fait tout le travail.

L’authentification Auth0 a besoin de l’audience, mais Postman ne nous permet pas de spécifier ce paramètre. Dans ce cas, nous devons définir l’audience par défaut dans le compte Auth0. Après avoir modifié ce paramètre, vous recevrez le bon jeton

Bonjour, est-il prévu de l’implémenter ? Ou n’en valait-il pas la peine ?

En ajoutant simplement une autre demande pour cette fonctionnalité, il est très gênant de ne pas pouvoir utiliser le id_token puisque le flux de travail Auth0 semble fonctionner parfaitement autrement dans postman.

Hey @andrew-fugue

Bienvenue dans la communauté !!

Je suggérerais d’ajouter toutes les demandes de fonctionnalités à l’endroit où l’équipe les verra.

Ceux-ci peuvent être signalés sur notre outil de suivi des problèmes :

Problèmes GitHub · postmanlabs/postman-app-support Postman

est une plateforme API pour la création et l’utilisation d’API. Postman simplifie chaque étape du cycle de vie des API et rationalise la collaboration afin que vous puissiez créer de meilleures API, plus rapidement. - Problèmes · Postmanlabs/...

Il s’agit d’une communauté publique et il est possible que des demandes de fonctionnalités, des bogues, etc. soient manquées et ne soient pas vues par les personnes qui peuvent les réaliser

Il semble que cela soit posté :

github.com/postmanlabs/postman-app-support

OAuth2featureproduct/runtime

github.com/postmanlabs/postman-app-support

AuthOAuth2featureproduct/runtime

mais aucun mouvement