令牌扫描仪
Postman 令牌扫描程序扫描您的公共工作区、集合、环境和文档以查找暴露的身份验证令牌。这可以保护您的组织并防止恶意用户利用令牌。
Token Scanner 在所有 Postman 计划中都可用,并且默认启用。
内容
用例
每当您的团队成员执行以下任何操作时,都会触发扫描:
- 将工作区可见性更改为公共。
- 将集合或环境共享到公共工作区。
- 对公共工作区中存在的集合或环境进行更改。
- 为 Postman Collection 编写新文档并将其公开。
- 对公开可用的 Postman 文档进行任何更改。
扫描结果显示在Web 仪表板报告部分的安全审计报告中。
支持的令牌
默认情况下,令牌扫描器将扫描各种令牌。您还可以使用自定义警报添加尚不支持的团队专有的第三方应用程序令牌。
默认警报
默认情况下,会扫描以下服务提供商颁发的令牌:
- 可播放 API 密钥
- 亚马逊 MWS 令牌
- 基本认证
- 不记名令牌
- Clojars 部署令牌
- Databricks 身份验证令牌
- DSA 私钥
- EC2 SSH 私钥
- Firebase 云消息传递 API 密钥
- GitHub 个人访问令牌
- 谷歌 API 密钥
- 谷歌 OAuth 令牌
- Microsoft Outlook 团队 Webhook URL
- OpenSSH 私钥
- PGP 私钥
- 邮递员 API 密钥
- RSA 私钥
- SendGrid API 密钥
- Sendinblue 钥匙
- Shopify 密钥
- Slack Webhook URL
- 方形访问密钥
- 方形访问令牌
- 方形 OAuth 秘密
- 条纹受限键
- 条带密钥
- 电报机器人访问令牌
- Twilio API 密钥
自定义警报
自定义警报可用于扫描默认情况下不扫描的团队专有和第三方应用程序令牌。
您的团队总共可以添加五个警报。您必须是社区管理员或同时具有开发人员和管理员角色的成员才能添加自定义警报。
添加自定义警报:
- 转到团队>团队设置>令牌扫描器。
- 在自定义警报部分中,选择添加警报。
- 在添加警报页面上,定义自定义令牌。
令牌扫描仪仪表板
您可以在数据安全仪表板中查看团队配置的默认和自定义警报。选择右上角的团队 >团队设置。然后,选择左侧的数据安全,然后选择令牌扫描器。
