Token 令牌
Postman Token Scanner 扫描你的公共工作空间、集合、环境和文档以查找公开的身份验证令牌。这可以保护你的组织并防止恶意用户利用令牌。
Token Scanner 适用于所有 Postman plan,默认情况下处于打开状态。
用例
只要团队成员执行以下任何操作,扫描就会开始:
- 将工作空间可见性更改为公共。
- 将集合或环境共享到公共工作空间。
- 对公共工作空间中存在的集合或环境进行更改。
- 为 Postman Collection 编写新文档并将其公开。
Postman 在报告 仪表板 的 安全审计报告 部分提供扫描结果。
Token Scanner 仪表板
你可以在数据安全仪表板 中查看团队配置的 默认 和 自定义 警报。在 Postman 标题中选择团队,然后选择**团队设置。然后,选择左侧的Data security ,然后选择**Token scanner。
支持的代币
Token Scanner 器默认 扫描各种令牌。 你还可以使用自定义警报 添加尚不支持的团队专有第三方应用程序令牌。
默认警报
默认情况下,Token Scanner 器扫描由以下服务提供商颁发的令牌:
- 空气表 API 密钥
- Akamai API 密钥
- 亚马逊 MWS 代币
- 基本授权
- 不记名令牌
- Clojars 部署令牌
- Databricks 身份验证令牌
- DSA 私钥
- EC2 SSH 私钥
- Firebase 云消息传递 API 密钥
- GitHub 个人访问令牌
- 谷歌 API 密钥
- 谷歌 OAuth 令牌
- Microsoft Outlook 团队 Webhook URL
- 新的 Relic 用户密钥
- OpenSSH 私钥
- PGP 私钥
- Postman API 密钥
- Postman 收集访问密钥
- RSA 私钥
- 发送网格 API 密钥
- 发送蓝键
- Shopify 密钥
- Slack 网络钩子 URL
- 方形访问密钥
- 方形访问令牌
- 广场 OAuth 秘密
- 条带限制键
- 条纹密钥
- Telegram 机器人访问令牌
- Twilio API 密钥
- 推特不记名令牌
- Typeform API 密钥
- Zapier 网络钩子网址
自定义提醒
你可以使用自定义警报来扫描你团队的专有令牌和默认情况下未扫描的任何第三方应用程序令牌。
你的团队总共可以添加五个警报。你必须是社区管理员或同时**具有开发人员和管理员**角色的团队成员才能添加自定义警报。
要添加自定义警报,请执行以下操作:
- 转到Team > Team Settings > Token scanner。
- 在自定义警报部分中,选择添加警报。
- 在“添加警报”页面上,定义自定义令牌。
保护 GitHub 中的 Postman API 密钥
Postman 还与 GitHub 合作以确保你的 Postman API 密钥安全。如果你将有效的 Postman API 密钥提交到公共 GitHub 存储库,Postman 会通过电子邮件和应用内通知通知你。你还可以设置 Postman 的 Slack 集成 ,以便在发生这种情况时在 Slack 中提醒你。
建议你删除 API 密钥仪表板 中公开的 API 密钥。然后你可以 生成一个新的 API 密钥 以继续使用 Postman API。