使用PostMan Canary測試受Identity Server 4保護的Web Api

在《Asp.Net Core: Swagger 與 Identity Server 4》一文中介紹瞭如何生成受保護的Web Api的Swagger文件，本文介紹使用PostMan Canary測試受Identity Server 4保護的Web Api。

首先搭建一下Identity Server 4的環境，並且建立一個測試用的Web Api和訪問Web Api的客戶端，這部分在系列文章《Identity Server 4 從入門到落地》中有詳細的介紹。
Identity Server 4 Admin的程式碼和測試用Web Api和Client的程式碼可以從Github下載：
https://github.com/zhenl/IDS4Admin
https://github.com/zhenl/IDS4ClientDemo

這裡只列出測試用Web Api專案appsettings.json中的配置項：

  "IdentityServer4Api": {
    "Authority": "http://host.docker.internal:4010",
    "CorsOrgins": [
      "http://host.docker.internal:5291"
    ],
    "Policies": [
      {
        "Name": "ApiScope",
        "RequireAuthenticatedUser": "true",
        "Claims": [
          {
            "ClaimType": "scope",
            "AllowValues": [ "testapi" ]
          }
        ]
      }
    ],

訪問這個Web Api的測試用Web應用appsettings.json中相關配置項：

  "IdentityServer4Client": {
    "Authority": "http://host.docker.internal:4010",
    "ClientId": "testclient",
    "ClientSecret": "secret",
    "ResponseType": "code",
    "SaveTokens": "true",
    "RequireHttpsMetadata": "false",
    "Scopes": [ "openid", "profile", "testapi" ],
    "JsonKeys": []

  }

我們使用最新的PostMan Canary進行測試,下載地址https://www.postman.com/downloads/canary/。安裝完成後，就可以訪問Web Api了。

如果直接訪問 Web Api,會提示401錯誤：

我們需要在PostMan中實現認證，才能訪問受保護的Web Api。我們已經在認證中心設定了可以訪問Web Api的Client，資訊如下：

Client ID	testclient
Client Secret	secret
Callback URL	http://host.docker.internal:5291/signin-oidc
Web Api Scope	Scope

現在，在PostMan中進入Authorization分頁：

選擇認證型別為OAuth2.0:

在右邊出現認證需要的參數列單，其中Grant Type選擇Authorization Code(With PKCE)，說明我們使用OpenID Connect。其它引數參考已經配置的Client 引數。

還需要說明的是，認證的地址為：[認證服務地址]/connect/authorize，在這個例子中這個地址為http://host.docker.internal:4010/connect/authorize。獲取Token的URL為[認證服務地址]/connect/token，在這個例子中地址為：http://host.docker.internal:4010/connect/token 。
引數填寫完成後，點選Get Access Token按鈕：

如果設定正確的話，會彈出認證頁面，輸入使用者名稱，密碼，認證完成後，PostMan關閉認證頁面，並返回Access Token：

點選Use Token,Token被自動填寫到訪問頁面：

這時再次按Send訪問Web Api,可以正確地獲取返回資料了：