Postman API برای اتصال Postman به toolchain توسعه استفاده میشود و برای کار با آن به API key نیاز دارید. در پلن Enterprise، Adminها میتوانند API keyهای ساختهشده در organization را در مقیاس بزرگ مدیریت کنند تا امنیت و compliance بهتر حفظ شود.
برای استفاده از داشبورد مدیریت API keyها باید Admin یا Super Admin باشید. SCIM API keyها از بخش Organization settings مدیریت میشوند.
داشبورد مدیریت Postman API keyها #
برای باز کردن داشبورد مدیریت keyها، در header پستمن وارد Organization > Postman Keys شوید.

این داشبورد همه Postman API keyهایی را که organization ساخته است نمایش میدهد. میتوانید فهرست را بر اساس keyهای enabled، disabled یا revoked فیلتر کنید.
برای هر key میتوانید سازنده، تاریخ ساخت، تاریخ expiration و آخرین زمان استفاده را ببینید. همچنین میتوانید با مقدار key جستجو کنید، بر اساس کاربر سازنده فیلتر کنید و فهرست را بر اساس جدیدترین، قدیمیترین یا اخیرا استفادهشده مرتب کنید.
Tag کنار نام key نشان میدهد key disabled یا revoked است. اگر روی revoked tag بروید، میبینید key توسط Admin revoke شده، به دلیل inactivity بعد از expiration revoke شده یا بهصورت خودکار revoke شده است.
API keyهای افشاشده #
اگر Postman Secret Scanner، API keyهای افشاشده را در public workspaceها، public documentation یا repositoryهای GitHub و GitLab پیدا کند، آنها در بخش Exposed API keys نمایش داده میشوند.

این بخش اطلاعاتی مثل تاریخ تشخیص exposure، آخرین زمان استفاده و location را نشان میدهد. از بخش API key settings میتوانید مشخص کنید Postman با keyهای افشاشده چگونه بهصورت خودکار برخورد کند.
Revoke کردن API keyها #
برای revoke کردن یک API key، در داشبورد مدیریت keyها روی آن بروید و Revoke را انتخاب کنید. برای revoke کردن چند key، checkbox کنار keyها را انتخاب کنید و سپس روی Revoke بالای فهرست کلیک کنید.

وقتی API key revoke شود، Postman به owner آن key email اطلاعرسانی میفرستد. اگر key افشاشده باشد، revoke کردن آن finding مربوطه را در Secret Scanner dashboard هم resolve میکند.
تنظیمات API key #
برای مدیریت permissionها و سیاستهای API key، در داشبورد مدیریت keyها روی API Key Settings کلیک کنید.

ساخت key و expiration #
بهصورت پیشفرض همه افراد organization میتوانند Postman API key بسازند. اگر نمیخواهید userها key جدید بسازند، setting مربوط به Allow anyone in your team to generate API keys را خاموش کنید.
با setting مربوط به Set expiry for API keys میتوانید expiration همه keyهایی را که organization میسازد مشخص کنید. این policy روی expirationهایی که کاربران از قبل تنظیم کردهاند هم اثر میگذارد و برای keyهای آینده هم اعمال میشود.
Auto revoke #
Setting مربوط به Auto revoke exposed Postman API keys باعث میشود Postman keyهایی را که در public Postman resourceها، GitHub یا GitLab افشا شدهاند بهصورت خودکار revoke کند و به owner آنها email بفرستد.
اگر هنگام فعال کردن این setting، key افشاشدهای وجود داشته باشد، Postman warning نمایش میدهد.

در این حالت میتوانید exposed keyهای موجود را revoke کنید یا فعلا ignore کنید. بعد از فعال شدن auto revoke، هر key افشاشده جدیدی که Secret Scanner پیدا کند، خودکار revoke میشود.
اگر لازم است همه Postman API keyهای ساختهشده توسط organization را revoke کنید، از گزینه Revoke all API keys generated by your team استفاده کنید.
منبع آموزشی: Postman Docs، بازنویسی و سادهسازیشده برای کاربران فارسیزبان.

