在我们实际应用接口的调用调试过程中，需要用到token或者刷新token，GitEgg支持OAuth2.0协议进行认证授权，这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。

1、使用密码模式获取token

  根据spring-security-oauth2的实现，进行密码模式验证时，需要验证客户端的用户名密码，其中有两种方式，一种是将客户端的client_Id和client_secret放到请求参数中，一种是将client_Id和client_secret通过BASE64加密后放到Headers里进行Basic验证，我们这里采取第二种方式。

- 首先将client_Id:client_secret进行BASE64加密，在线BASE64工具 https://www.qvdv.com/tools/qvdv-base64.html

- 将账号密码的密码进行MD5加密，在线MD5工具https://www.qvdv.com/tools/qvdv-md5.html

- Postman设置Headers参数

参数列表：

Content-Type: application/x-www-form-urlencoded
TenantId: 0
Authorization: Basic Z2l0ZWdnLWFkbWluOjEyMzQ1Ng==

参数说明：

Content-Type： 设置为表单方式提交
TenantId: 开启多租户时，需设置租户id
Authorization：需填写BASE64编码后的client_Id:client_secret，再加Basic 前缀，让OAuth2知道这是Basic认证

- Postman设置body参数

参数列表：

grant_type: password
username: admin
password: 25d55ad283aa400af464c76d713c07ad

参数说明：

grant_type表示使用密码模式换取token
username是换取token的用户名
password是换取token的密码，此密码同样需要使用md5加密

• Postman设置POST请求token的url为 http://127.0.0.1/gitegg-oauth/oauth/token
  ,点击send按钮，就会获取到后台返回的token和refresh_token
  

2、使用获取到的token请求个人用户信息

- Postman设置获取个人信息的Headers参数

将上一步骤中获取到的token前面加Bearer 设置为Authorization的值，注意Bearer后面有个空格。Bearer表示此token为Bearer token后台会根据前缀进行区分是Basic还是Bearer从而进行不同的认证。设置GET请求个人信息的url为 http://127.0.0.1/gitegg-oauth/oauth/user/info
,点击send按钮，就会获取到后台返回的个人信息。

参数列表：

Authorization:

Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.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-e7n-euoeeQhuWRmCIsImFjY291bnQiOiJhZG1pbiJ9.b1Jvoq6ACVm5rlIrGI8Dh90TIOk2DWTlnqTzve3bUoVjKy4Rc6i6JLqnL80bfgzFu6FtMZOcF8-rwV1q3gXkU1dfS2Lifwl5HnE-Ag8KNN2Xf1UvA9M1O7ZftQLnrLdvCySx4Zwte1xQ_5udfwCFiqn56DPZieM6_FAzQR65Uj-F2DUZ1dZNF4ThH1zeBjrL0D_NBUJZ0R6DU-fjeD5ecfGubWIgZqy5jz8DyHE-YemntoeIKVpkl7D2T9KqZQ38wfzSeK95jnzqkLAxCTDGl7i2gtT7sFZWWJo8JErX5z8EYMkOri2WHz_q7NhiVOnd1F40nNR2Eoim3iLPCdYKaQ

TenantId: 0

参数说明：

Authorization: 获取用户信息的token，此token可以访问该用户下所有能够访问的、需要鉴权的接口。
TenantId: 开启多租户时，需设置租户id

3、当token超时，通过refresh_token重新获取token

  RefreshToken（刷新令牌授权模式）和密码授权模式一样都是OAuth2授权模式的其中一种，我们通常讲的token实际是access_token，这个token的超时时间往往比refresh_token的超时时间短，当access_token超时之后，我们会通过refresh_token进行access_token的自动刷新，此操作用户无感知，不需要重新登录，当refresh_token超时时，才给用户返回登录超时提示。

• 设置Postman刷新token的参数，因为都是OAuth2授权模式的一种，所以认证请求token的接口和使用密码模式授权是同一个接口，参数也基本相同，只是在body里设置refresh_token的值为第一次获取token时的refresh_token

Headers:

Body:

点击Send按钮执行请求，获取新的token和refresh_token: