主要观点：API 安全至关重要，会影响业务成功与安全，需重视安全。开发者常未妥善保护 Postman 中的凭证等敏感数据，应分享保护数据和 API 的技巧。
关键信息：

• Postman 秘密扫描器可扫描公共工作区等暴露的秘密，管理员可查看并替换，开发者应避免忽视。
• 测试脚本等多处易暴露秘密，应将敏感数据存储在保险库等地方，谨慎添加请求头等。
• Postman 保险库是本地加密存储，可安全存储凭证，可与外部密码管理器关联。
• 引导式认证可帮助 API 消费者快速安全地进行认证。
• 要理解 Postman 中变量初始值和当前值的区别，敏感数据用当前值存储。
• 利用 Postman 授权助手安全处理认证。
• 重视 Postman 的警告，创建新工作区先设为私有或团队工作区。
• Postman 工作区和团队有基于角色的访问控制，应按需分配权限。
  重要细节：
• 秘密扫描器可通过多种方式通知管理员暴露的秘密及处理方式。
• 测试脚本中要避免在控制台等记录敏感数据，利用变量助手存储数据。
• 保险库数据不与 Postman 云同步，需用钥匙访问。
• 引导式认证可帮助消费者设置不同认证方式，认证后可将凭证存储在保险库。
• 不同角色在 Postman 中对公共元素的管理权限不同。