品牌型号：联想拯救者R7000

系统：Windows 10专业版

软件版本：Postman 11.18.0

我们在做开发时，尤其是需要与外部系统对接的情况，就需要借助API，API文档是对接系统的核心内容，该文档内包含大量隐私数据，因此安全性非常重要。Postman作为一款API测试工具，如何帮我们保护API文档并设置访问权限呢？本文将为大家介绍Postman如何保护API文档，Postman如何设置API文档访问权限的相关内容。

一、Postman如何保护API文档

API文档记录的是接口设计逻辑、参数规范及调用方式等核心信息，如果该文档泄露，可能会造成业务逻辑暴露、从而引发数据安全风险，下面就为大家介绍一下Postman如何保护API文档的。

1、加密脚本发送API请求

加密脚本通过对API请求/响应中的敏感字段进行实时加解密处理，从数据传输与处理环节保护API文档。例如，在API文档中定义了用户身份令牌等敏感参数，可通过【Pre-request 】在发送请求前进行加密。这种处理方式可以让敏感数据在调用过程中始终以密文形式存在，即使API文档被泄露，也无法通过文档直接拿到有效数据，有效保护API文档的安全。​

从文档内容保护角度看，加密脚本可隐藏API的实际数据处理逻辑。在API文档中，我们一般会给出请求参数格式的案例，但通过加密脚本对关键参数（如签名算法、时间戳生成规则）进行封装后，文档中仅需保留加密后的参数样例，避免了核心业务逻辑通过文档泄露。例如，某个API的价格计算规则可通过脚本加密实现，文档中只写加密后的价格字段，既让调用API的人知道参数格式的需求，还能保障代码逻辑安全。

2、环境变量

通过设置环境变量与全局变量，可以实现参数与请求的“解耦”。我们可以将API密钥、URL等信息定义为变量，在发起API请求时通过【{{}}】动态填充，可以有效避免敏感信息在脚本、文档中的明文存储。

二、Postman如何设置API文档访问权限

Postman的Workspace可以看作动态的【API文档】，Workspace中保存着接口的请求、参数、案例，可以邀请别人假如该工作组共同测试，在邀请别人时，要注意访问权限配置，以下是Postman设置Workspace的API文档访问权限的相关内容。

1、创建工作区

登录Postman客户端后，通过顶部【Workspaces】并点击【Create Workspace】创建工作区，系统将自动生成独立的权限控制矩阵。工作区创建后，默认启用私有访问模式，仅创建者具备管理员权限。

2、选择工作区类型

如果要和别的小伙伴分享该工作区作为API文档使用，我们可以选择【Partner】类型的工作空间。

3、邀请同事并设置权限

在邀请同事加入该工作区时，可以为用户设置角色，Editor表示可编辑，Viewer角色只能查看无法参与编辑。通过该角色控制，可以达到设置API文档访问权限的目的。

三、总结

以上就是Postman如何保护API文档，Postman如何设置API文档访问权限的相关内容。借助Postman【pre-request】功能，我们可以编写脚本后加密请求，从而实现保护API文档的目的，另外，Postman提供了环境变量功能，进一步保护了文档安全。本文还为大家介绍了创建Workspace并控制用户权限的步骤，希望本文对你有所帮助。