如何在 IdentityServer ASP.NET Core 中使用 Postman 使用 AntiForgeryToken 调用 API

Question

我正在尝试使用 Postman 使用 Identity Server Asp.net Core 测试我的 API。

这是我正在尝试做的方式：

1. 第一个请求 HttpGet 到 https://localhost:5000/Account/Login 并在响应正文中收到：<input name="__RequestVerificationToken" type="hidden" value="CfDJ8MoS9upoM4dNp8Kx-AdvA-uYr13_PAkuMZpzYMV8UmxZq5GdLTvN-Ht5NpTLmPtlhL5d5z2Hu2vUJoJGhk1AMlARDcOwqgq7Cef1dfQL_vl4tIFM4kx9RZPz8DHU26-U9qLnKAIstZgR42-1FuGNh24" />

在 Cookie 中（虽然不确定它是什么）：

1. 然后HttpPost 到https://localhost:5000/Account/Login 和RequestVerificationToken 以及从正文HttpGet 请求中收到的令牌。

并且总是error 400，正如您在上面的屏幕截图中看到的那样。

在 Visual Studio 中，我可以看到一些请求被捕获，但显然是不正确的。

如果我要删除属性[ValidateAntiForgeryToken]，那么当然一切正常，但显然是因为该验证被禁用。

Answer 1

您需要执行以下操作才能发送此类请求：

1.) 在 x-www-form-urlencoded 中输入 __RequestVerificationToken 键值（不要忘记双下划线）

2.) 您需要将 .AspNetCore.Antiforgery cookie 添加到 Postman 的 Cookies 部分。

例如像这样 .AspNetCore.Antiforgery.1XHiLFgQI2w=你的cookie值；路径=/;域=localhost;Expires=Session;

您可以在 Google 开发者工具的应用程序部分找到 .AspNetCore.Antiforgery cookie

.AspNetCore.Antiforgery cookie in Google Developer Tools picture

Add cookie in Postman picture

Answer 2

只是在这上面花了很多时间。

我做了几件事：

1. 设置环境并添加变量。
2. 添加了一个预请求脚本...
   • 使用 pm.SendRequest 获取页面
   • 使用cheerio 查找名为__RequestVerificationToken 的第一个输入字段并获取其值
   • 将环境变量设置为从字段中检索到的值
3. 发送表单数据（因为我使用的是 asp.net core，模型的值），如 x-www-form-urlencoded
4. 最后但同样重要的是，我在表单数据中添加了 __RequestVerificationToken 作为键值对之一，并将其​​设置为使用已设置的变量

我发布此答案的主要原因是最后一个，我在网上看到很多东西表明名称应该是 RequestVerificationToken，但这不起作用，只会导致 400 响应（错误请求)。

Answer 3

在邮递员中，您需要将内容类型设置为形成 url 编码。

并在标头中将请求验证令牌作为“RequestVerificationToken”发送

但是，如果您只需要 Bearer 令牌，那么您需要调用 POST https://<your identity server>/connect/token 与