Das WordPress-REST-API-Authentifizierungs-Plugin bietet Sicherheit vor unbefugtem Zugriff auf Ihre WordPress-REST-APIs.
Suchergebnisse :
×Die WordPress-REST-API-Authentifizierung mithilfe der Methode eines Drittanbieters umfasst die Verwendung von Token (Zugriffstoken/ID-Token/JWT-Token), die von Drittanbietern wie Google, Facebook, Firebase, Apple, Azure AD, Keycloak, Okta, AWS Cognito erhalten werden , Github, Slack, Gitlab usw. für den sicheren Zugriff auf die WordPress-Rest-API.
WordPress-Endpunkte sind standardmäßig nicht sicher und Daten können über REST-APIs im JSON-Format gestohlen werden. Mit der WordPress-REST-API-Authentifizierung können Sie REST-APIs mit mehreren Sicherheitsmethoden wie Basic Auth, API KEY, JWT-Token und OAuth-Token aufrufen. In diesem Leitfaden verwenden wir das von OAuth/OpenID Connect/Firebase-Anbietern ausgegebene OAuth-Token, um die REST-API-Anfragen zu validieren, wodurch Ihre WordPress-Website geschützt und sicher bleibt.
Jedes Mal, wenn eine Anfrage zum Zugriff auf die REST-API gestellt wird, erfolgt die Authentifizierung anhand des von Drittanbietern wie Google, Facebook, Firebase, Apple, Okta usw. ausgegebenen Tokens und auf der Grundlage der Validierung der API Token wird den Ressourcen für diese REST-API-Anfrage der Zugriff gestattet. Das einzelne Token, das Sie nach der SSO-Anmeldung für Ihre App erhalten haben, kann also weiter für den Zugriff auf WP-REST-API-Endpunkte verwendet werden.
Das WordPress-REST-API-Authentifizierungs-Plugin bietet Sicherheit vor unbefugtem Zugriff auf Ihre WordPress-REST-APIs.
1. Die WordPress-REST-API-Endpunktanforderung erfolgt mit dem Zugriffs-/ID-Token, das von den OAuth/OpenID Connect-Identitätsanbietern erhalten wurde und im Autorisierungsheader mit dem Tokentyp „Bearer“ übergeben wird.
2. Die WordPress-REST-API-Anfrage wird von unserem Plugin überwacht und die JWT-Token-Validierungs-/Authentifizierungsanforderung wird an den OAuth/OpenID Connect Identity-Anbieter (Server) gesendet.
3. Die Antwort wird vom OAuth/OpenID Connect Identity-Anbieter (Server) für die zuvor gestellte Anfrage zur Validierung des JWT-Tokens zurückgegeben.
4. Wenn die JWT-Token-Validierung/Authentifizierung erfolgreich ist, darf auf die angeforderte Ressource zugegriffen werden, was bedeutet, dass der Anforderer nun berechtigt ist, auf die Ressource/Daten zuzugreifen. Wenn die Token-Validierung fehlschlägt, wird eine Fehlerantwort zurückgegeben . Die Ressourcendaten sind nun geschützt und können nach Autorisierung abgerufen werden, sodass die Sicherheit kein Problem darstellt.
Verwandter Anwendungsfall: Wie kann verhindert werden, dass WordPress-REST-API-Endpunkte das von Social Login oder OAuth2.0/OpenID Connect-Identitätsanbietern bereitgestellte JWT-Token verwenden?
Wie kann eine Authentifizierung durchgeführt und die Sicherheit gewährleistet oder eine Autorisierung durchgeführt werden, um Zugriff auf die WordPress-REST-API-Endpunkte auf der Grundlage des Zugriffs-/ID-Tokens zu gewähren, das von Social-Login-/OAuth-Anbietern während des OAuth/OpenID-SSO-Anmeldevorgangs bereitgestellt wird?
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:
access_token : < access_token >
OR
id_token : < id_token >
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "< access_token > OR id_token <id_token>");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
MediaType mediaType = MediaType.parse("text/plain");
RequestBody body = RequestBody.create(mediaType, "");
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "< access_token > OR id_token <id_token>")
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "< access_token > OR id_token <id_token>"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts%20',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: < access_token > OR id_token <id_token>'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': '< access_token > OR id_token <id_token>'
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Führen Sie die folgenden Schritte aus, um eine REST-API-Anfrage mit Postman zu stellen:
1. Einschränkung der rollenbasierten REST-API:
Mit dieser Funktion können Sie den REST-API-Zugriff basierend auf den Benutzerrollen einschränken. Sie können die Rollen, für die Sie den Zugriff auf die angeforderte Ressource für die REST-APIs gewähren möchten, auf die Whitelist setzen. Wenn also ein Benutzer eine REST-API-Anfrage stellt, wird seine Rolle abgerufen und darf nur dann auf die Ressource zugreifen, wenn seine Rolle auf der Whitelist steht.
Wie konfiguriere ich es?
Hinweis: Die rollenbasierte Einschränkungsfunktion gilt für die Standardauthentifizierung (Benutzername: Passwort), die JWT-Methode und OAuth 2.0 (Passwortgewährung).
2. Benutzerdefinierter Header
Diese Funktion bietet die Möglichkeit, einen benutzerdefinierten Header anstelle des standardmäßigen „Autorisierungs“-Headers auszuwählen.
Dies erhöht die Sicherheit, da der Header mit Ihrem „benutzerdefinierten Namen“ benannt wird. Wenn also jemand die REST-API-Anfrage mit dem Header „Autorisierung“ stellt, kann er nicht auf die APIs zugreifen.
Wie konfiguriere ich es?
3. Schließen Sie REST-APIs aus
Mit dieser Funktion können Sie Ihre REST-APIs auf die Whitelist setzen, sodass auf diese ohne Authentifizierung direkt zugegriffen werden kann. Daher sind alle diese auf der Whitelist aufgeführten REST-APIs öffentlich verfügbar.
Wie konfiguriere ich es?
4. Ablauf des benutzerdefinierten Tokens
Diese Funktion gilt für JWT- und OAuth 2.0-Methoden, die zeitbasierte Token zur Authentifizierung der WordPress-REST-API-Endpunkte verwenden. Mit dieser Funktion können Sie das benutzerdefinierte Ablaufdatum für die Token festlegen, sodass das Token nicht mehr gültig ist, sobald das Token abläuft.
Wie konfiguriere ich es?
Daher wird mit dieser benutzerdefinierten Token-Ablauffunktion die Sicherheit weiter erhöht.
5. Aktivieren Sie die erweiterte Verschlüsselung für die Token mithilfe von HMAC
Diese Funktion ist mit der Standardauthentifizierungsmethode verfügbar, bei der das Token standardmäßig mit der Base64-Verschlüsselungstechnik verschlüsselt wird. Mit der erweiterten Funktion kann das Token jedoch mit der hochsicheren HMAC-Verschlüsselung verschlüsselt werden, die sehr sicher ist.
6. Signaturvalidierung für JWT-basierte Token
Diese Funktion ermöglicht eine sichere Signierung der JWT-Signatur für das JWT-Token, sodass Ihr JWT-Token viel sicherer ist und die Signatur nur mithilfe des Client-Geheimnisses/-Zertifikats entschlüsselt werden kann. Das bedeutet, dass Ihre Signatur privat ist und für andere nicht sichtbar ist.
Wir bieten Unterstützung für zwei Signaturalgorithmen: HS2 und RS256. Daher kann jeder der Signaturalgorithmen aus der Dropdown-Liste ausgewählt werden, wie im obigen Bild gezeigt.
Außerdem müssen Sie Ihr Client-Geheimnis oder Zertifikat hinzufügen, das zum Signieren der Signatur des JWT verwendet wird.
7. Erstellen Sie benutzerspezifische API-Schlüssel/Tokens
So nutzen Sie diese Funktion:
Mailen Sie uns weiter apisupport@xecurify.com Für eine schnelle Beratung (per E-Mail/Besprechung) zu Ihren Anforderungen hilft Ihnen unser Team bei der Auswahl der für Ihre Anforderungen am besten geeigneten Lösung/Plan.
Das WordPress-REST-API-Authentifizierungs-Plugin bietet Sicherheit vor unbefugtem Zugriff auf Ihre WordPress-REST-APIs. Es bietet Ihnen eine Vielzahl von Authentifizierungsmethoden wie Basisauthentifizierung, API-Schlüsselauthentifizierung, OAuth 2.0-Authentifizierung und JWT-Authentifizierung.
Mit diesem Plugin können Sie benutzerdefinierte Endpunkte/REST-Routen zum Abrufen/Ändern/Erstellen/Löschen von Daten über eine benutzerfreundliche grafische Oberfläche und auch mit benutzerdefinierten SQL-Abfragen erstellen. Außerdem bietet das Plugin die Funktion, externe APIs mit Plattformen von Drittanbietern in Ihre WordPress-Site zu integrieren.
Brauchen Sie Hilfe? Wir sind hier!
Vielen Dank für Ihre Anfrage.
Wenn Sie innerhalb von 24 Stunden nichts von uns hören, können Sie gerne eine Folge-E-Mail an senden info@xecurify.com
Diese Datenschutzerklärung gilt für miniorange-Websites und beschreibt, wie wir mit personenbezogenen Daten umgehen. Wenn Sie eine Website besuchen, werden möglicherweise Informationen in Ihrem Browser gespeichert oder abgerufen, meist in Form von Cookies. Diese Informationen können sich auf Sie, Ihre Vorlieben oder Ihr Gerät beziehen und werden hauptsächlich dazu verwendet, dass die Website so funktioniert, wie Sie es erwarten. Die Informationen identifizieren Sie nicht direkt, können Ihnen aber ein personalisierteres Web-Erlebnis ermöglichen. Klicken Sie auf die Kategorieüberschriften, um zu erfahren, wie wir mit Cookies umgehen. Die Datenschutzerklärung unserer Lösungen finden Sie in der Datenschutz.
Notwendige Cookies tragen dazu bei, eine Website vollständig nutzbar zu machen, indem sie grundlegende Funktionen wie Seitennavigation, Anmelden, Ausfüllen von Formularen usw. ermöglichen. Die für diese Funktionalität verwendeten Cookies speichern keine personenbezogenen Daten. Einige Teile der Website funktionieren jedoch ohne Cookies nicht ordnungsgemäß.
Diese Cookies sammeln nur aggregierte Informationen über den Verkehr auf der Website, einschließlich Besucher, Quellen, Seitenklicks und -aufrufe usw. Dies ermöglicht es uns, mehr über unsere beliebtesten und am wenigsten beliebten Seiten sowie über die Interaktion der Benutzer mit den umsetzbaren Elementen und damit über die Veröffentlichung zu erfahren Wir verbessern die Leistung unserer Website sowie unserer Dienste.