Suchergebnisse :

×
Jetzt registrieren Kontaktiere uns

Inhalte

REST-API-Schlüsselauthentifizierungsmethode für WordPress | Sichere REST-API

Die REST-API-Schlüsselauthentifizierung für WordPress beinhaltet Überprüfung des API-Schlüssels (Bearer-Token) Um auf die REST-APIs von WordPress zuzugreifen, ist bei jeder Anfrage an die REST-API-Endpunkte eine Authentifizierung mittels des Schlüssels (Bearer-Token) erforderlich. Der Zugriff auf die Ressourcen des angeforderten REST-API-Endpunkts von WordPress wird nach erfolgreicher Validierung des API-Schlüssels (Bearer-Token) gewährt.
Der API-Schlüssel ist ein Authentifizierungsprotokoll, das dafür entwickelt wurde Ermöglichen Sie Entwicklern die Generierung von Authentifizierungsschlüsseln die für Ressourcen wie serverseitige Prozesse, Mobiltelefonanwendungen und Desktop-Computer verwendet werden könnten.

Die API-Schlüssel-Authentifizierung für WordPress ist ein unerlässliches Mittel, um die Sicherheit Ihrer REST-API zu gewährleisten. Sollte der API-Schlüssel kompromittiert werden, kann er neu generiert werden, wodurch alle zuvor generierten Schlüssel automatisch ablaufen. Der neu erstellte Schlüssel wird dann für die API-Schlüssel-Authentifizierung von WordPress verwendet. Eine unzureichende Absicherung Ihrer REST-API birgt erhebliche Sicherheitsrisiken, da Unbefugte Zugriff auf Ihr System erhalten und potenziell zu Datenlecks führen können.

Dieser Leitfaden führt Sie durch einen detaillierten Schritt-für-Schritt-Prozess für Installation und Konfiguration der REST-API-Authentifizierung für WordPress um die Sicherheit Ihrer REST-API zu erhöhen.


Schaltfläche „Plugin herunterladen“ Download Plugin kostenloses Test-Plugin kostenloses Test-Plugin Kostenlose Testversion kostenloses Test-Plugin kostenloses Test-Plugin Demo Video

REST-API-Authentifizierung für WordPress

Das REST-API-Authentifizierungs-Plugin für WordPress schützt Ihre REST-APIs vor unberechtigtem Zugriff. Unser Plugin bietet verschiedene Authentifizierungsmethoden wie Basisauthentifizierung, API-Schlüssel-Authentifizierung, OAuth 2.0-Authentifizierung und JWT-Authentifizierung.

Mehr erfahren   

  • Melden Sie sich als Administrator bei Ihrer WordPress-Instanz an.
  • Gehen Sie zu WordPress Dashboard -> Plugins und klicken Sie auf Inserat erstellen.
  • Suche nach einem REST API-Authentifizierung Plugin für WordPress und klicken Sie auf Jetzt installieren.
  • Klicken Sie nach der Installation auf Mehr erfahren.


REST-API-Authentifizierungsschlüsselmethode für WordPress

    1.  Die API-Schlüsselauthentifizierung schützt Ihre REST-API-Endpunkte für WordPress, wie z. B. Beiträge, Seiten oder andere REST-APIs, vor unberechtigtem Zugriff und macht die Weitergabe von WordPress-Anmeldedaten (Client-ID und Client-Geheimnis) zur Authentifizierung überflüssig. Dieser API-Schlüsselgenerator für WordPress erstellt einen eindeutigen Authentifizierungsschlüssel, mit dem Sie verschiedene REST-APIs Ihrer Website authentifizieren können.

    Die Verwendung der REST-API-Schlüsselauthentifizierung für WordPress ist eine der einfachsten und am weitesten verbreiteten Methoden, um Ihre REST-API mit API-Schlüsselauthentifizierung abzusichern. Dadurch wird die Sicherheit der REST-APIs auf Ihrer WordPress-Website erhöht.


    2.   Stellen Sie sich vor, Sie haben eine Blog-App für Android und iOS entwickelt und alle Ihre Blogbeiträge auf WordPress veröffentlicht. Sie möchten die Beiträge/Blogs jedoch über die REST-APIs von WordPress abrufen, ohne sie öffentlich zugänglich zu machen. In diesem Fall empfiehlt es sich, die REST-API-Schlüsselauthentifizierung für WordPress zu implementieren, um Ihre GET-Anfragen zu schützen und die Sicherheit Ihrer Endpunkte zu gewährleisten.


Das Plugin bietet zwei Arten von API-Schlüsseln/Sicherheitstoken, die zur Authentifizierung von REST-APIs von WordPress verwendet werden können.


    I. Universeller API-Schlüssel – Der universelle API-Schlüssel eignet sich am besten zur Authentifizierung der REST-APIs, die die HTTP-GET-Methode verwenden und keine WordPress-Benutzerberechtigungen erfordern.


    Bitte beachten Sie: Dieser Schlüssel beinhaltet keine Benutzerberechtigungen und kann nicht für den Zugriff auf die APIs verwendet werden, für die WordPress Benutzerberechtigungen erwartet. "Beispiel - Wenn Sie die GET-APIs nur zum Abrufen allgemeiner WordPress-Beiträge, Kommentare usw. verwenden möchten.“


    II. Benutzerspezifischer API-Schlüssel – Die benutzerbasierte API eignet sich am besten zur Authentifizierung von REST-APIs, die HTTP-Methoden wie GET, POST, PUT und DELETE verwenden, insbesondere in Fällen, in denen Operationen durchgeführt werden sollen, die Benutzerberechtigungen betreffen.


    Beispiel - Wenn Sie Vorgänge wie das Abrufen von WordPress-Beiträgen basierend auf Benutzerfunktionen (ihren WP-Rollen) oder Benutzerdaten ausführen oder neue Benutzer, neue Beiträge usw. erstellen möchten.



Single Sign-On (SSO) für WordPress | Add-on-Integration

JWT-Authentifizierung
Single Sign-On (SSO) für WordPress | Add-on-Integration

OAuth 2.0-Authentifizierung
Single Sign-On (SSO) für WordPress | Integration des Add-ons zur Medienbeschränkung

Basic Authentication
Single Sign-On (SSO) für WordPress, Discord-Rollenzuordnung

Authentifizierung von Drittanbietern


    REST-API-Authentifizierungsschlüsselmethode für WordPress
  • Gehen Sie im Plugin zu Registerkarte „API-Authentifizierung konfigurieren“. und klicken Sie auf API-Schlüsselauthentifizierung als API-Authentifizierungsmethode.
  • Sobald Sie die Konfiguration gespeichert haben, finden Sie unter Abschnitt „Universeller API-Schlüssel“. Sie erhalten die Option „Neues Token generieren“. Klicken Sie auf Neuen Schlüssel generieren Schaltfläche. Dieser Schlüssel/Token läuft ab, wenn Sie einen neuen Schlüssel/Token generieren.
  • Sobald Sie den API-Schlüssel (Token) generiert haben, können Sie ihn verwenden, um Ihre REST-API-Endpunkte für WordPress zu sichern. (Sie können jederzeit einen neuen API-Schlüssel generieren, und alle bereits generierten Schlüssel laufen automatisch ab.)
  • Sie müssen den API-Schlüssel als Trägertoken an den Autorisierungsheader übergeben, während Sie die REST-API-Anfrage an Ihre WP-Site senden, wie im folgenden Schritt gezeigt.
  • Benutzer, die über dieses Token verfügen, können wie unten gezeigt auf die REST-API zugreifen.
    • 
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
    
Sample request:  GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
    
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
-H 'app-name:TheAppName'
  • Der Header wird unten erklärt.

    •    I. Authorization : Das HTTP Genehmigung Der Anforderungsheader enthält typischerweise die Anmeldeinformationen des Benutzeragenten oder den Tokentyp und -wert und dient zur Authentifizierung des Benutzeragenten gegenüber einem Server. Dies geschieht häufig nach einem erfolglosen Authentifizierungsversuch, bei dem der Server mit dem Status antwortet: 401 Nicht autorisiert.

       II. Bearer <token-value>: Das Träger wird vom Authentifizierungsserver erstellt. Wenn eine Client-Anwendung den Authentifizierungsserver anfordert, authentifiziert der Server das Token und gibt der Client-Anwendung eine entsprechende Antwort.

  • Entdecken Sie unsere Entwicklerdokumentation für weitere Informationen an.
  • Entdecken Sie unsere Fehlerantwort für die API-Schlüsselauthentifizierung.

 
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
request.AddHeader = ("app-name", "TheAppName");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);

 
OkHttpClient client  = new OkHttpClient().newBuilder().build();
Request request  = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>");
.addHeader = ("app-name", "TheAppName");
.build();
Response responseclient.newCall(request).execute();

 
var settings  = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer < access_token / id_token >",
"app-name": "TheAppName"
},        
};

$.ajax(settings).done(function (response)  {
console.log(response);
});

 
<?php
 $curl = curl_init();
curl_setopt_array($curl, array 
(  
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
'app-name: TheAppName'
),

));          

$response = curl_exec($curl);
curl_close($curl);    
echo $response;

 
import http.client

conn   = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
'app-name': 'TheAppName',
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()    
data = res.read()    
print (data.decode("utf-8"))

    Führen Sie die folgenden Schritte aus, um eine REST-API-Anfrage mit Postman zu stellen:

  • Laden Sie den POSTMAN-Sammlungsexport herunter von werden auf dieser Seite erläutert.
  • Importieren Sie die heruntergeladene JSON-Datei wie unten gezeigt in die Postman-Anwendung.
    • REST-API-Authentifizierung für WordPress: Schlüsselmethode, Postman-Import einer JSON-Datei
  • Sobald Sie die JSON-Datei importiert haben, klicken Sie auf REST-API-Anfrage unter dem Kollektionen wie in der letzten Abbildung gezeigt. Ersetzen Sie nun die mit Ihrer Wordpress-Domain im http://<wp_base_url>/wp-json/wp/v2/posts und ersetzen Sie die API im Header mit dem Token-Wert, wie er im Plugin generiert wurde.
  • Ejemplo:
    • REST-API-Authentifizierung für WordPress-Schlüsselmethode Postman Basis-URL ersetzen

1. Einschränkung der rollenbasierten REST-API:


Mit dieser Funktion können Sie den REST-API-Zugriff je nach Benutzerrolle einschränken. Sie können festlegen, welche Rollen über REST-APIs auf die angeforderte Ressource zugreifen dürfen. Wenn ein Benutzer eine REST-API-Anfrage initiiert, wird seine Rolle abgerufen und der Zugriff auf die Ressource nur gewährt, wenn seine Rolle in der Whitelist enthalten ist.


Wie konfiguriere ich es?

  • Gehen Sie zunächst zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
  • Im Abschnitt „Rollenbasierte Einschränkung“ wird allen Rollen standardmäßig Zugriff auf die APIs gewährt. Sie können den Zugriff jedoch gezielt einschränken, indem Sie das Kontrollkästchen neben den Rollen aktivieren, die Sie einschränken möchten.
    • REST-API-Basisauthentifizierungsmethode für die WordPress-Postman-Implementierung
  • Im obigen Screenshot ist das Kontrollkästchen für die Abonnentenrolle aktiviert. Wenn ein Benutzer in seiner Rolle als Abonnent eine API-Anfrage stellt, darf er nicht auf die angeforderte Ressource zugreifen.

Hinweis: Die rollenbasierte Einschränkungsfunktion ist für die Basisauthentifizierung (Benutzername: Passwort), die JWT-Methode, OAuth 2.0 (Passwortzuweisung) und die API-Schlüsselauthentifizierung (benutzerspezifischer API-Schlüssel) gültig.


2. Benutzerdefinierter Header


Diese Funktion bietet die Möglichkeit, anstelle des standardmäßigen „Authorization“-Headers einen benutzerdefinierten Header auszuwählen. Dies erhöht die Sicherheit durch die Einführung eines benutzerdefinierten Headers. Wenn jemand versucht, eine REST-API-Anfrage mit einem „Authorization“-Header zu senden, kann er nicht auf die APIs zugreifen.


Wie konfiguriere ich es?

  • Gehen Sie zunächst zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
  • Dann in der „Benutzerdefinierter Header“ Im Abschnitt „Textfeld bearbeiten“ können Sie den gewünschten benutzerdefinierten Namen eingeben.
    • REST-API-Basisauthentifizierungsmethode für die WordPress-Postman-Implementierung

3. Schließen Sie REST-APIs aus


Mit dieser Funktion können Sie eine Whitelist für Ihre REST-APIs erstellen und so direkt und ohne Authentifizierung darauf zugreifen. Alle in dieser Whitelist enthaltenen REST-APIs sind somit öffentlich zugänglich.


Wie konfiguriere ich es?

  • Gehen Sie zunächst zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
  • Anschließend können Sie unter „REST-APIs ausschließen“ Ihre APIs im vorgeschriebenen Format eingeben, die für den öffentlichen Zugriff auf die Whitelist gesetzt werden müssen.
    • REST-API-Basisauthentifizierungsmethode für die WordPress-Postman-Implementierung
  • Ejemplo: Angenommen, Sie möchten die REST-API „/wp-json/wp/v2/posts“ ausschließen, dann müssen Sie „/wp/v2/posts“ in das Textfeld eingeben.

4. Erstellen Sie benutzerspezifische API-Schlüssel/Token


  • Diese Funktion ist innerhalb der API-Schlüsselmethode verfügbar und ermöglicht die Generierung von Token auf Grundlage benutzerspezifischer Informationen anstelle eines zufällig generierten Tokens, bei dem es sich um einen universellen Schlüssel handelt.
  • Bei Verwendung des universellen API-Schlüssels/Tokens fehlen Nutzern möglicherweise die erforderlichen Berechtigungen für den Zugriff auf bestimmte REST-APIs von WordPress mit Anfragemethoden wie POST, PUT oder DELETE. Diese APIs umfassen Aktionen wie das Erstellen von Benutzern, Beiträgen, Seiten usw., die spezifische Benutzerberechtigungen oder -rollen erfordern. Diese Einschränkung entsteht, da der universelle Schlüssel zufällig generiert wird und keine benutzerspezifischen Details enthält.
  • Die Funktion für benutzerbasierte API-Schlüssel/Token ermöglicht es Benutzern, die REST-APIs von WordPress mit Anfragemethoden wie POST, PUT und DELETE zu nutzen, die Benutzeranmeldeinformationen oder bestimmte Rollen für die jeweilige Funktionalität erfordern. Wird eine REST-API-Anfrage an WordPress mit dem benutzerbasierten Schlüssel ausgeführt, ermittelt das System die Benutzerrolle und gewährt Zugriff nur dann, wenn der Benutzer über die erforderlichen Berechtigungen verfügt.
  • Zum Beispiel: Nur Benutzer mit Administrator- und Editorrollen haben die Berechtigung, einen Beitrag zu erstellen/bearbeiten/löschen.
  • Wenn also an diese API eine Anfrage zum Erstellen/Löschen/Bearbeiten des Beitrags gestellt wird, lautet die API-Antwort: „Sie sind nicht berechtigt, diesen Vorgang auszuführen.“
  • Wenn nun eine Anfrage mit dem benutzerbasierten Token gestellt wird, das für den Benutzer mit der Rolle „Administrator“ oder „Editor“ generiert wurde, hat nur dieser Zugriff auf diese API und kann über den API-Aufruf Aktionen ausführen (erstellen/aktualisieren/löschen).

    • So nutzen Sie diese Funktion:

  • Wählen Sie den Benutzer aus der Dropdown-Liste aus und klicken Sie auf API-Schlüssel erstellen .
    • REST-API-Basisauthentifizierungsmethode für die WordPress-Postman-Implementierung
  • Auf dem Bildschirm erscheint ein Popup, Sie müssen nur darauf klicken OK Schaltfläche, um das Token zu kopieren.
    • REST-API-Basisauthentifizierungsmethode für die WordPress-Postman-Implementierung
  • Jetzt kann dieses Token mit der API-Anfrage verwendet werden, genau wie der Universalschlüssel zum Stellen der API-Anfrage verwendet wird.

Herzlichen Glückwunsch! Sie haben die REST-API-Schlüsselauthentifizierung für WordPress mithilfe dieser Anleitung erfolgreich konfiguriert. Ihre REST-API-Endpunkte von WordPress sind nun sicher und Ihre Daten vor unberechtigtem Zugriff geschützt.




Holen Sie sich die Testversion mit vollem Funktionsumfang



 Vielen Dank für Ihre Antwort. Wir werden uns umgehend bei Ihnen melden.

Etwas ist schief gelaufen. Bitte senden Sie Ihre Anfrage erneut

REST-APIs mit API-Schlüsselauthentifizierung

Hilfe benötigt?

Mailen Sie uns weiter apisupport@xecurify.com Für eine schnelle Beratung (per E-Mail/Besprechung) zu Ihren Anforderungen hilft Ihnen unser Team bei der Auswahl der für Ihre Anforderungen am besten geeigneten Lösung/Plan.


ADFS_sso ×
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützung