Cập Nhật APIDOG Tháng 5: Chuyển Đổi Postman Thông Minh Hơn, Kiểm Soát Bảo Mật Xác Thực, và Trình Chạy Không Cần Root

⭐ Bản phát hành tháng 5 tập trung vào các việc thực tế: giảm thao tác cấu hình sau khi di chuyển, tăng bảo mật xác thực cho doanh nghiệp, và làm cho dữ liệu gỡ lỗi API đầy đủ hơn.

Khi một nhóm di chuyển workflow API giữa các công cụ, phần khó thường không nằm ở bước nhập dữ liệu. Vấn đề xuất hiện sau đó: URL gốc cần được chuẩn hóa, môi trường cần được nối đúng, mã được tạo cần có xác thực, và Runner trong CI/CD phải tuân thủ chính sách hạ tầng chặt chẽ hơn.

Dùng thử Apidog ngay hôm nay

Tháng này, Apidog cải thiện các bước đó theo hướng dễ triển khai hơn: nhập Postman có ánh xạ URL gốc thông minh hơn, Chính sách Doanh nghiệp bắt đầu với kiểm soát Bảo mật Xác thực, Spec-First Mode có thể dùng thử mà chưa cần liên kết Git, Runner có thể chạy không cần quyền root, mã yêu cầu được tạo có thể bao gồm thông tin xác thực, và nhiều lỗi liên quan đến chia sẻ yêu cầu, kiểm thử tự động, Mock data đã được xử lý.

Dưới đây là các thay đổi chính và cách bạn có thể áp dụng chúng vào workflow hiện tại.

⭐ Cập nhật mới

📦 Nhập dữ liệu Postman với ánh xạ URL gốc thông minh hơn

Khi nhập dữ liệu từ Postman, Apidog giờ đây có thể phát hiện URL gốc dùng chung một cách đáng tin cậy hơn và đặt giá trị đó vào trường URL gốc của mô-đun tương ứng trong các môi trường liên quan.

Nếu bạn đang di chuyển collection từ Postman, đây là bước giúp giảm nhiều thao tác dọn dẹp sau import.

Trước đây	Hiện tại
Nhập collection từ Postman. Kiểm tra thủ công URL của từng request. Điền URL gốc của mô-đun cho từng môi trường. Sửa request lỗi trước khi kiểm thử.	Nhập file Postman hoặc nhập qua Postman API. Apidog phát hiện URL gốc dùng chung khi có đủ dữ liệu đáng tin cậy. Giá trị được phát hiện được đặt vào trường URL gốc phù hợp. Request sau khi nhập có khả năng chạy được ngay cao hơn.

Cải tiến này hỗ trợ cả hai cách nhập:

• Nhập file Postman cục bộ.
• Nhập thông qua Postman API.

Khi URL request chứa một địa chỉ dùng chung rõ ràng hoặc biến có thể nhận dạng, Apidog sẽ cố gắng trích xuất URL gốc và cấu hình vào đúng vị trí trong môi trường.

Ví dụ, nếu nhiều request có dạng:

https://api.example.com/v1/users
https://api.example.com/v1/orders
https://api.example.com/v1/products

Apidog có thể nhận diện phần dùng chung:

https://api.example.com/v1

Sau đó đặt nó vào cấu hình URL gốc của mô-đun, giúp các endpoint còn lại dễ quản lý hơn sau khi import.

---

🛡️ Chính sách Doanh nghiệp bắt đầu với kiểm soát bảo mật xác thực

Apidog giới thiệu Chính sách Doanh nghiệp như một lớp quản trị cho các kiểm soát bảo mật cấp tổ chức. Phần đầu tiên được hỗ trợ là Bảo mật Xác thực.

Mục tiêu là giảm rủi ro lộ thông tin đăng nhập trong cấu hình xác thực. Quản trị viên tổ chức có thể định nghĩa quy tắc cho các trường xác thực nhạy cảm, chẳng hạn:

• Khuyến khích hoặc yêu cầu lưu token dưới dạng biến.
• Khuyến khích hoặc yêu cầu lưu credential trong Vault Secret.
• Hạn chế việc nhập trực tiếp giá trị thô vào cấu hình xác thực.

Với Vault Secret, nhóm cũng có thể ngăn việc hiển thị giá trị dạng plaintext trong giao diện. Thành viên vẫn có thể tham chiếu secret khi gửi request, nhưng giá trị không bị lộ dễ dàng qua biểu tượng mắt hoặc khi chia sẻ màn hình.

🔒 Cách làm này giúp nhóm doanh nghiệp quản lý credential rõ ràng hơn mà không biến việc debug API thành một quy trình bảo mật tách biệt.

Một workflow nên áp dụng:

1. Xác định các loại credential nhạy cảm: API key, bearer token, client secret, password.
2. Chuyển các giá trị này sang biến hoặc Vault Secret.
3. Áp dụng chính sách để hạn chế lưu giá trị thô.
4. Kiểm tra lại các request dùng xác thực để đảm bảo vẫn chạy đúng.

---

📝 Spec-First Mode không còn yêu cầu thiết lập Git trước

Spec-First Mode giờ đây dễ thử hơn. Bạn có thể tạo một dự án ưu tiên đặc tả mà chưa cần liên kết Git repository, sau đó thêm hoặc nhập file OpenAPI khi đã sẵn sàng.

Điều này phù hợp với các nhóm muốn đánh giá workflow tập trung vào OpenAPI trước khi chuẩn hóa cấu trúc repository.

Bạn có thể triển khai theo thứ tự:

1. Tạo dự án Spec-First trong Apidog.
2. Thêm hoặc nhập file OpenAPI.
3. Review endpoint, schema và documentation.
4. Thu thập phản hồi từ backend, frontend và QA.
5. Khi workflow ổn định, liên kết Git repository sau.

ℹ️ Cách này hữu ích khi nhóm đang thử nghiệm quy trình spec-first hoặc muốn lấy phản hồi sớm trước khi quyết định cấu trúc repo chính thức.

---

🔒 Runner giờ đây có thể chạy với tư cách người dùng không phải root

Runner hiện hỗ trợ chạy với tư cách người dùng không phải root.

Điều này đặc biệt quan trọng trong các môi trường:

• Server production hoặc staging có chính sách phân quyền nghiêm ngặt.
• Container bị hạn chế quyền root.
• Pipeline CI/CD yêu cầu principle of least privilege.
• Hạ tầng nội bộ không cho phép process tự động chạy bằng root.

Thay vì chạy Runner với quyền cao nhất, bạn có thể triển khai bằng một user có quyền hạn nhỏ hơn nhưng vẫn giữ workflow kiểm thử tự động hiện có.

Ví dụ hướng triển khai trong container:

RUN adduser -D apidog-runner
USER apidog-runner

Sau đó chạy Runner trong pipeline hoặc container bằng user này thay vì root.

✅ Cập nhật này giúp nhóm căn chỉnh Runner với yêu cầu bảo mật nội bộ mà không phải thay đổi toàn bộ quy trình kiểm thử.

---

🔐 Mã request được tạo có thể bao gồm thông tin xác thực

Khi tạo mã request từ một API request, Apidog giờ đây có thể bao gồm thông tin xác thực đã được cấu hình.

Điều này giúp đoạn mã được tạo gần hơn với ví dụ có thể chạy thực tế. Thay vì xuất code rồi thêm token, header hoặc tham số xác thực thủ công, bạn có thể nhận được snippet đầy đủ hơn ngay từ đầu.

Ví dụ, khi request đã cấu hình bearer token, snippet được tạo có thể phản ánh cấu hình xác thực đó:

curl -X GET "https://api.example.com/users" \
  -H "Authorization: Bearer <token>" \
  -H "Content-Type: application/json"

Tính năng này hữu ích khi bạn cần:

• Kiểm tra nhanh một API call trong terminal.
• Chia sẻ request có thể tái tạo với đồng đội.
• Dán request vào môi trường debug khác.
• Tạo ví dụ tích hợp cho frontend hoặc QA.

---

✅ Tối ưu hóa

🧩 Thực thi Script CLI giờ đây bị hạn chế hơn

Để giảm rủi ro thực thi script ngoài ý muốn, CLI giờ đây chỉ cho phép gọi script từ thư mục “External Programs”.

Nếu nhóm của bạn đang dùng script CLI trong automation, hãy kiểm tra lại:

1. Script hiện tại có nằm trong thư mục External Programs không.
2. Pipeline hoặc lệnh nội bộ có đang gọi script từ đường dẫn khác không.
3. Tài liệu setup local có cần cập nhật đường dẫn không.

Ranh giới mới này giúp giảm phạm vi thực thi script quá rộng, đồng thời vẫn giữ các workflow External Programs được hỗ trợ.

---

📋 Lệnh cURL được sao chép bao gồm nhiều cấu hình request hơn

Khi sao chép cURL từ Apidog, lệnh được tạo giờ đây bao gồm Header và Body đã cấu hình một cách đáng tin cậy hơn.

Điều này giúp lệnh cURL gần với request thực tế trong ứng dụng hơn.

Ví dụ, nếu request có header và JSON body, cURL được sao chép sẽ phản ánh đầy đủ hơn:

curl -X POST "https://api.example.com/users" \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer <token>" \
  -d '{
    "name": "Nguyen Van A",
    "email": "a@example.com"
  }'

Bạn sẽ cần ít thao tác chỉnh sửa thủ công hơn khi:

• Debug trong terminal.
• Chia sẻ request có thể tái tạo.
• Thêm lệnh vào tài liệu xử lý sự cố.
• So sánh request giữa Apidog và môi trường runtime khác.

---

🧪 Các bước kiểm thử tự động duy trì đồng bộ sau khi đổi phương thức

Khi phương thức request của endpoint thay đổi từ GET sang POST, PUT hoặc phương thức khác, các bước kiểm thử tự động liên quan giờ đây đồng bộ cấu hình cập nhật chính xác hơn.

Trường hợp thường gặp:

GET /users

được đổi thành:

POST /users

Trước đây, test step có thể vẫn giữ thông tin phương thức cũ trong một số trường hợp. Cập nhật này giúp giảm lỗi do cấu hình test bị lệch so với endpoint thực tế.

Sau khi đổi method của endpoint, bạn vẫn nên kiểm tra nhanh:

• Method trong endpoint.
• Body schema nếu chuyển từ GET sang POST hoặc PUT.
• Assertion liên quan đến status code.
• Test data được dùng trong bước kiểm thử.

---

🎲 Tạo dữ liệu Mock đáng tin cậy hơn

Bản phát hành này khắc phục một số vấn đề trong quá trình tạo Mock data, bao gồm:

• Quy tắc nhân, hay multiplier rules.
• Biểu thức arrayElements.
• Vấn đề tạo hàng loạt khi JavaScript generation và Mock generation được dùng cùng nhau.

Điều này giúp output Mock ổn định hơn cho các workflow:

• Tích hợp frontend-backend.
• Tạo dữ liệu kiểm thử hàng loạt.
• Kiểm thử tự động.
• Demo API khi backend chưa hoàn thiện.

Nếu bạn đang dùng schema có mảng, hãy kiểm tra lại các rule như:

{
  "users": {
    "type": "array",
    "items": {
      "type": "object"
    }
  }
}

và các cấu hình liên quan đến số lượng phần tử để đảm bảo dữ liệu Mock sinh ra đúng kỳ vọng.

---

🐞 Sửa lỗi và cải tiến nhỏ hơn

Bản phát hành tháng này cũng bao gồm nhiều sửa lỗi và cải tiến chất lượng sử dụng:

• Khắc phục sự cố trong đó tham số request của tài liệu được chia sẻ không hiển thị ví dụ mặc định.
• Khắc phục sự cố xuất dự án chỉ có tài liệu Markdown và không có endpoint.
• Khắc phục một số vấn đề tạo Mock data, bao gồm tạo hàng loạt khi dùng cả JavaScript generation và Mock generation, multiplier rules, và biểu thức min / max của arrayElements.
• Khắc phục sự cố permalink trong project overview có thể trả về lỗi 500 sau khi mở liên kết từ nhiều dự án khác nhau theo trình tự.
• Khắc phục trường hợp giao diện hiển thị lỗi:

Error: Cannot read properties of null (reading 'nullable')

• Khắc phục vấn đề độ tương phản khiến tên example được chọn trong tài liệu chia sẻ khó đọc ở giao diện sáng.
• Khắc phục sự cố khiến người dùng Windows không thể dùng AI Agent Debugger bình thường.
• Khắc phục sự cố trong đó một trường body form-data có nhiều file upload chỉ hiển thị một file sau khi mở chỉnh sửa hàng loạt và lưu.

---

🌟 Điều này có ý nghĩa gì với workflow API

Bản phát hành tháng 5 tập trung vào việc loại bỏ các điểm nghẽn nhỏ nhưng tốn thời gian trong vòng đời API.

Lĩnh vực	Cải tiến	Vì sao quan trọng
Di chuyển từ Postman	URL gốc dùng chung được ánh xạ khi Apidog có thể phát hiện đáng tin cậy.	Giảm dọn dẹp thủ công sau khi import collection và cấu hình môi trường.
Triển khai Runner	Runner có thể chạy với tư cách người dùng không phải root.	Phù hợp hơn với chính sách server, container và CI/CD nghiêm ngặt.
Bảo mật doanh nghiệp	Chính sách Doanh nghiệp bắt đầu với kiểm soát Bảo mật Xác thực.	Admin có thể giảm rủi ro lộ credential thô trong quy trình xác thực.
Spec-first workflow	Dự án spec-first không còn yêu cầu liên kết Git trước khi sử dụng.	Nhóm có thể thử workflow tập trung vào OpenAPI trước khi chuẩn hóa repository.
Chia sẻ request	Mã được tạo và cURL output bao gồm nhiều cấu hình request hơn.	Ví dụ dễ chạy, dễ tái tạo và dễ chia sẻ hơn.
Testing và Mocking	Test step đồng bộ chính xác hơn và Mock generation ổn định hơn.	Giảm thời gian xử lý cấu hình lệch và dữ liệu kiểm thử không mong đợi.

Các cập nhật này không nhằm thêm độ phức tạp. Mục tiêu là làm cho workflow sau khi thiết lập bớt mong manh hơn: ít sửa tay hơn, mặc định an toàn hơn, và output khớp hơn với cấu hình thực tế.

---

💬 Tham gia cuộc trò chuyện

Kết nối với các kỹ sư API khác và đội ngũ Apidog:

• Tham gia cộng đồng Discord để thảo luận và nhận hỗ trợ theo thời gian thực.
• Tham gia cộng đồng Slack để trao đổi kỹ thuật.
• Theo dõi chúng tôi trên X (Twitter) để nhận cập nhật mới nhất.

Tái bút: Để xem đầy đủ tất cả cập nhật, hãy kiểm tra Nhật ký thay đổi của Apidog.

Trân trọng,

Đội ngũ Apidog