Postman: Basic авторизация через скрипт

Всем привет, меня зовут Алексей Нихаенко и я дата инженер. Это мой первый пост на Хабре и я хочу поведать вам свое более близкое знакомство с инструментом Postman.

О чем пойдет речь?

• Что такое базовая авторизация и способы использования внутри Postman

• Задача, которую я преследовал и зачем понадобилась автоматизация (Pre-Request Script)

• Простые примеры скрипта с Basic Authorization в Pre-Request Script

• Строим дерево вариантов поведения скрипта

• Итоговый скрипт, заключение

1. Что такое базовая авторизация и способы использования внутри Postman

Базовая авторизация (Basic Auth) — авторизация, использованная с помощью имени пользователя (username ) и пароля (password ). Отправляется на сервер заголовком (header ) шаблонно вот так:

'Authorization': f'Basic {base64(username:password)}'

Где:

• Authorization — наименование заголовка (ключ)

• f»Basic {base64(username:password)}» — закодированное в base64 пара имя_пользователя:пароль

Например, если имя пользователя у нас UserNameRandom а пароль AnyPassword, то вот так по итогу будет выглядеть заголовок:

'Authorization': 'Basic VXNlck5hbWVSYW5kb206QW55UGFzc3dvcmQ='

Закодировать (Encode) в Base64 можете сами онлайн ССЫЛКА

Декодировать (Decode) из Base64 в строку можете сами онлайн ССЫЛКА

Авторизоваться базово внутри Postman можно двумя способами:

• Через внутренний функционал по авторизации (тогда заголовок он сам подставляет закодированный)

• Либо подставляя закодированный в Base64 значение заголовка Authorization

  

Задача, зачем нужна автоматизация

Есть Jira. Некоторые запросы должны получать задачи (GET-запросы), некоторые — переводить статус задачи в другой статус (в моем случае из «Новый» в «Отменен»). Я со своей автоматизацией хотел покрыть несколько задач:

• Хочу попробовать отправить запрос с правильными логинами-паролями

• Отправить запрос с неправильными логином-паролем

• Отправить запрос без заголовка Authorization

• Максимально защитить логины-пароли, чтобы, делясь коллекцией, я «не палил» их

• Сохранить результаты запросов в Example максимально секурно (см. пункт выше) и чтобы было понятно — использовался ли заголовок авторизации и какой

В связи с вышеизложенным мне хотелось как можно меньше ручных манипуляций. В голову пришла фича Postman, с помощью которой можно до отправки запроса устанавливать заголовки (и вообще много чего еще) в автоматическом режиме с помощью скриптинга на JavaScript — Pre-Request Script (простите за тавтологию, постараюсь больше не использовать)

Простые примеры скрипта с Basic Authorization

Прежде чем перейти к скриптингу, нужно подумать — а где мы будем хранить логины-пароли? На ум приходят три вещи:

• Переменные внутри коллекции (не безопасно)

• Переменные внутри скрипта (еще хуже, сложно для поддержки еще к тому же)

• Переменные внутри окружения Postman (то, что нужно)

Переменные внутри окружения безопасны за счет не только того, что они скрыты визуально (если вдруг попадут в скрин), но и при «поделиться коллекцией» вы не передаете Credentials (учетные данные, логин-пароль)

Следующий вопрос — а куда помещаем скрипт? Я отвечу сразу — на уровне коллекции, чтобы при создании новых запросов заголовок автоматически применялся

Еще важный момент — внутрь коллекции я создал переменную base_url со значением «https://jira.com». В запросах могут фигурировать {{base_url}} — это Postman берет переменную из коллекции и применяет в качестве URL запроса

Итак, приступаем к кодингу. Начнем с самого простого, пойдем потом на усложнение.

Представим, что у нас переменные внутри скрипта, никаких заголовков не устанавливалось на уровне запросов, тогда нам нужно добавить заголовок. Обратите, пожалуйста, внимание на различие add и upsert (в будущем, на усложнении понадобится)

// Зашитые внутрь скрипта креденшелы const login = "UserNameRandom"; const password = "AnyPassword";  // Кодирование в base64 const encodedCredentials = Buffer.from(`${login}:${password}`).toString('base64'); // Установка заголовка Authorization // add используется для добавления заголовка // upsert используется для обновления (хотя должен для вставки и обновления) pm.request.headers.add({     key: "Authorization",     value: `Basic ${encodedCredentials}` }); // Выводим опционально значение в консоль Postman console.log("Заголовок Authorization добавлен:", `Basic ${encodedCredentials}`);

Результат мы можем увидеть на следующем экране

Ниже — скрипты по взятию переменных из коллекции и из окружения

var login = "UserNameRandom"; var password = "AnyPassword"; console.log(`Зашитые внутри скрипта логин: ${login} и пароль ${password}`); login = pm.collectionVariables.get("login"); password = pm.collectionVariables.get("password"); console.log(`Переменные коллекции, логин: ${login} и пароль ${password}`); login = pm.environment.get("login") password = pm.environment.get("password"); console.log(`Переменные окружения, логин: ${login} и пароль ${password}`);

Строим дерево вариантов поведения скрипта

Теперь, когда какой-никакой, а скрипт есть, нужно его улучшить, учитывая несколько вопросов \ нюансов:

Тут, наверное, стоит пояснить — а что значит включенные (активные) \ отключенные заголовки? Объясняю — бывает так, что в одном запросе ты накидаешь несколько заголовков с одинаковым ключом, но разным значением, чтоб в какой-то момент подключать нужный. Вот как это выглядит визуально:

Прежде чем перейти к тому, как ответил я, давайте разбираться со всем в коде:

• Хм, как получить значение login-password из переменных окружения?

// Получение переменных из окружения const login = pm.environment.get("login"); const password = pm.environment.get("password");

• Как определить — есть ли и логин и пароль? А как в скрипте написать сообщение об ошибке не прерывая работу? А прерывая?

if (!login || !password) {   // Определяем переменную для вывода в консоль   var reason_error = "Не найдены переменные login или password"   // Выводим лог в консоль. Не прерывает работу ни скрипта, ни запроса   console.error(reason_error);   // Прерываем работу, выбрасывая ошибку   throw new Error(reason_error)   }

• Хм, а как посмотреть отключенные заголовки Authorization?

// Наименование (ключ) заголовка var header_name = "Authorization" // Смотрим на отключенные заголовки header_name const disabledHeaders = pm.request.headers.filter(header => header.disabled && header.key.toLowerCase() === header_name.toLowerCase()); // Считаем количество отключённых заголовков header_name const disabledCount = disabledHeaders.length; if (disabledCount >= 1) {   console.log(`Количество отключенных заголовков ${header_name} = ${disabledCount}`) } else {   console.log("Нет отключенных заголовков") }

• Хм, а как посмотреть включенные заголовки Authorization? Да то же самое, только вместо header.disabled пишем !header.disabled

• А как посмотреть вообще все заголовки?

const authHeader = pm.request.headers.get("Authorization");

• А как чистить куки? А вот это интересный вопрос, потому что:

  • Код выглядит просто:

    // Очищаем cookies перед выполнением всех шагов const var_cookies = pm.cookies.jar(); var_cookies.clear(pm.request.url, function (error) {   // error - <Error> });

  • Но перед этим нужно добавить сайт в Domains Allowlist (без http/https)

Отлично, основные моменты кода вспомнили, теперь давайте определяться с последовательностью действий с учетом вопросов \ нюансов.

• Перед запросом очищаем все куки

• Берем активные заголовки Authorization без учета регистра

• Если их больше 1 — выдаем ошибку, прерываем работу скрипта и запроса

• Если их 0 — значит так и задумано пользователем, просто отправляем запрос дальше

• Если их 1 — обновляю только в случае, если в значении встречаются <*calc*>, где * — любой символ и не чувствителен к регистру

  • <Calculated By Script> — заменится значение, т.к. встречаются все символы

  • <CALC> — тоже заменится. Напомню, что ищем не чувствительное к регистру

  • <Any> — Не заменится

  • Symbol<calc> — не заменится, т.к. символ «<» не идет первым

  • <calc>symbol — не заменится, т.к. символ «>» не идет последним

• Идем получать переменные окружения. Если чего-то нет — ошибка, прерываем все.

Таким образом мы:

• прерываем возможность несколько активных Authorization засунуть в запрос

• даем возможность без Authorization отправить запрос

• даем возможность со своим Authorization отправить запрос (он же бывает не только Basic, правильно?)

• когда нам действительно нужны логин и пароль — проверяем их наличие и выдаем ошибку, если чего-то нет

Итоговый скрипт, заключение

Что-то мне кажется, что за меня все скажет итоговый скрипт, который я использую

// ==================================================== // ==================================================== // ТУТ НИЧЕГО НЕ ТРОГАТЬ!!! // ==================================================== // ====================================================  // Функция для установки заголовка Authorization function setAuthorizationHeader() {     // Получение переменных из коллекции     const login = pm.environment.get("login");     const password = pm.environment.get("password");      if (!login || !password) {         var reason_error = "Не найдены переменные login или password"         // Логируем с прерыванием         throw new Error(reason_error)         // Логируем с продолжением работы скрипта         // console.error(reason_error);         return;     }      // Кодирование в base64 (используем Buffer для совместимости с Node.js)     const encodedCredentials = Buffer.from(`${login}:${password}`).toString('base64');          // Установка заголовка Authorization     pm.request.headers.upsert({         key: "Authorization",         value: `Basic ${encodedCredentials}`     });     // console.log("Заголовок Authorization добавлен:", `Basic ${encodedCredentials}`); }  // Очищаем cookies перед выполнением всех шагов const var_cookies = pm.cookies.jar(); var_cookies.clear(pm.request.url, function (error) {   // error - <Error> });  // Наименование (ключ) заголовка var header_name = "Authorization"  // Фильтрация отключенных заголовков header_name const disabledHeaders = pm.request.headers.filter(header => header.disabled && header.key.toLowerCase() === header_name.toLowerCase()); // Считаем количество отключенных header_name const disabledCount = disabledHeaders.length; // Фильтрация включенных заголовков header_name const enabledHeaders = pm.request.headers.filter(header => !header.disabled && header.key.toLowerCase() === header_name.toLowerCase()); // Подсчёт количества включенных header_name const enabledCount = enabledHeaders.length; console.log("Количество отключённых заголовков Authorization:", disabledCount); console.log(`Количество включенных заголовков Authorization: ${enabledCount}`);    // ==================================================== // ==================================================== // РЕДАКТИРОВАТЬ ТОЛЬКО БЛОК НИЖЕ // ==================================================== // ====================================================  // Если количество отключенных заголовком Authorization НЕ РАВНО включенным  //if (disabledCount !== enabledCount) { if (enabledCount > 1) {     throw new Error(`Заголовков ${header_name} больше 1. Заголовок должен быть таким 1 в запросе`) } else if (enabledCount === 0) {     console.log("Запрос будет отправлен без заголовка Authorization") } else {     // Создаем регулярное выражение для поиска "calc" без учёта регистра     const regex = /<.*calc.*>/i;     // Проверяем, есть ли вхождение в переменной первого элемента (и единственного) enabledHeaders     if (regex.test(enabledHeaders[0].value)) {         // console.log('Вхождение "<*calc*>" найдено в значении заголовка.');         console.log(`Заголовок ${header_name} будет изменен согласно скрипту`);         // Установка заголовка         setAuthorizationHeader();     } else {         console.log("Активный заголовок Authorization:",enabledHeaders[0].value);     } }

И вот несколько скриншотов работы Postman:

И, конечно, я добился того, ради чего все это затевалось, а именно я просто сохранил результат отправки запроса без боязни случайно «спалить» свой логин и пароль

Прошу вас, критикуйте, предлагайте, очень буду рад слышать мнение всех вас, золотых моих, умных, чтоб стать и самому лучше и сообществу помочь 🙂