JWT-Authentifizierung für die WP-REST-API

Q: Wie gewährleistet JWT die Sicherheit bei der Authentifizierung?

Das JWT-Token wird mit den WordPress-Benutzeranmeldeinformationen generiert und entweder mit dem HSA- (HS256) oder RSA-Algorithmus verschlüsselt. Es ist nur für eine begrenzte, individuell anpassbare Zeit gültig. Dieses zeitbasierte Ablaufdatum stellt sicher, dass nach Ablauf des Tokens der API-Zugriff widerrufen wird und das Token nicht dekodiert werden kann – eine sichere Authentifizierungsmethode.

Q: Wo füge ich das JWT-Token in meiner API-Anfrage hinzu?

Das JWT-Token muss im Autorisierungsheader Ihrer WordPress REST-API-Anfrage enthalten sein. Der Tokentyp sollte als Bearer angegeben werden, zum Beispiel: Autorisierung: Bearer Dadurch wird sichergestellt, dass das Plug-In die Anfrage validieren kann, bevor der Zugriff gewährt wird.

Q: Was passiert, wenn mein JWT-Token abläuft? Wie aktualisiere ich es?

Da das JWT-Token zeitbasiert ist, läuft es nach einer in der Konfiguration festgelegten Dauer ab. Nach Ablauf kann das Token nicht mehr für den Zugriff auf API-Ressourcen verwendet werden. Zum Aktualisieren müssen Sie mit den Anmeldeinformationen des Benutzers ein neues JWT-Token anfordern. Dies gewährleistet die Sicherheit und verhindert unbefugten Langzeitzugriff.

Q: Unterstützt das Plug-In sowohl HS256- als auch RSA-Algorithmen zur Token-Generierung?

Ja. Das Plugin ermöglicht die Generierung von JWT-Token entweder mit dem HS256-Algorithmus mit einem geheimen Schlüssel oder dem RSA-Algorithmus mit einem öffentlichen/privaten Schlüsselpaar. Standardmäßig ist die HS256-Methode mit einem zufällig generierten geheimen Schlüssel ausgewählt, Sie können sie jedoch entsprechend Ihren Sicherheitsanforderungen konfigurieren.

Q: Wie kann ich testen, ob die JWT-Authentifizierung auf meiner WordPress-Site ordnungsgemäß funktioniert?

Das Plugin bietet eine integrierte Testoption. Geben Sie einen gültigen Benutzernamen und ein Passwort für einen bestehenden WordPress-Benutzer ein, um ein JWT-Token zu generieren. Nach der Generierung verwenden Sie das Token, um eine GET-Anfrage innerhalb der Plugin-Oberfläche oder über Tools wie Postman zu stellen und die erfolgreiche Authentifizierung zu bestätigen.

Übersicht

JWT-Authentifizierung für WP REST API Die WordPress-JWT-Authentifizierung ist eine einfache Methode, um die REST-API-Endpunkte sicher zu halten. Anstatt jedes Mal Benutzernamen und Passwörter zu senden, verwendet die WordPress-JWT-Authentifizierung ein sicheres Token, um zu überprüfen, wer die Anfrage stellt. Dadurch wird sichergestellt, dass nur autorisierte Benutzer oder Anwendungen auf die geschützten REST-API-Endpunkte zugreifen können. JWT-Token wird generiert mit WordPress-Benutzeranmeldeinformationen und ist hochgradig verschlüsselt, was eine hohe Sicherheit gewährleistet, ohne den Zugriff einzuschränken.

Download Plugin

Kostenlose Testversion

Demo Video

WordPress REST API-Authentifizierung

Das WordPress REST API Authentication-Plugin schützt Ihre WordPress REST APIs vor unbefugtem Zugriff. Unser Plugin bietet verschiedene Authentifizierungsmethoden wie Basisauthentifizierung, API-Schlüsselauthentifizierung, OAuth 2.0-Authentifizierung und JWT-Authentifizierung.

Mehr wissen

Was ist die WordPress-JWT-Authentifizierung?

JWT-Authentifizierung für WP REST API Die WordPress-JWT-Authentifizierung ist eine einfache Methode, um die REST-API-Endpunkte sicher zu halten. Anstatt jedes Mal Benutzernamen und Passwörter zu senden, verwendet die WordPress-JWT-Authentifizierung ein sicheres Token, um zu überprüfen, wer die Anfrage stellt. Dadurch wird sichergestellt, dass nur autorisierte Benutzer oder Anwendungen auf die geschützten REST-API-Endpunkte zugreifen können. JWT-Token wird generiert mit WordPress-Benutzeranmeldeinformationen und ist hochgradig verschlüsselt, was eine hohe Sicherheit gewährleistet, ohne den Zugriff einzuschränken.

Voraussetzungen: Download und Installation

Melden Sie sich als Administrator bei Ihrer WordPress-Website an.
Gehen Sie im WordPress-Dashboard zu Plugins und klicken Sie auf Neu hinzufügen.
Suche nach einem REST-API-Authentifizierung für WP.
Klicken Sie auf „Jetzt installieren“, um das Plugin zu Ihrer Website hinzuzufügen.
Nach der Installation klicken Sie auf „Aktivieren“, um das Plugin zu verwenden.

Wie sichert man REST-APIs mit WordPress-JWT-Authentifizierung mithilfe der JWT-Token-basierten Authentifizierungsmethode?

Wenn Sie eine mobile oder Webanwendung entwickeln und kontrollierten Zugriff auf die WordPress REST-APIs benötigen, JWT-Authentifizierung für WP REST-APIs bietet eine sichere Lösung. Mit der WordPress-JWT-Authentifizierung können Sie Zugriffsebenen definieren, sodass Benutzer mit bestimmten Berechtigungen Inhalte erstellen oder aktualisieren können, während andere nur Daten anzeigen dürfen.

Die Verwendung von JWT-Token-basierte AuthentifizierungDie REST-API-Endpunkte sind durch WP-JWT-Zugriffstoken geschützt, die aus gültigen WordPress-Benutzerdaten generiert werden. Durch die Einbindung des JWT-Tokens in den Authorization-Header kann Ihre Anwendung sicher auf geschützte Ressourcen zugreifen oder rollenbasierte Aktionen ausführen. JWT-Authentifizierung für WP REST-APIs.
Diese Token sind mit Verschlüsselungsalgorithmen wie HSA oder RSA gesichert und laufen nach einer festgelegten Zeit automatisch ab, was die Gesamtsicherheit erhöht. Jeder Token enthält WordPress-Benutzerinformationen, die mithilfe eines geheimen Schlüssels oder Zertifikats entschlüsselt werden können. Daher eignet sich die WordPress-JWT-Authentifizierung ideal zum Synchronisieren von Benutzern oder zum Erstellen von Konten in mehreren Systemen.
WP JWT Refresh Tokens Ermöglicht Nutzern die sichere Verlängerung ihrer Sitzungen, ohne dass sie sich erneut anmelden müssen. Insgesamt gewährleistet die JWT-Token-basierte Authentifizierung in Kombination mit der WordPress-JWT-Authentifizierung einen sicheren API-Zugriff und ermöglicht gleichzeitig eine nahtlose und effiziente Kommunikation zwischen Ihrer Anwendung und WordPress.

WordPress REST-APIs mit JWT-Authentifizierung absichern

WordPress REST API JWT-Authentifizierungsmethode mit JWT

1. Die WordPress REST API-Anfrage wird mit den erforderlichen Anmeldeinformationen und Parametern initiiert, um mithilfe der WordPress-JWT-Authentifizierung ein JWT-Token zu generieren. Das ausgestellte Token wird durch JWT-Token-basierte Authentifizierung gesichert und mit branchenüblichen Algorithmen verschlüsselt. HS256 or RSA um einen starken Datenschutz zu gewährleisten.

2. Bei nachfolgenden Anfragen enthält der WordPress REST API-Aufruf zum Abrufen von Daten oder zum Ausführen von Aktionen das JWT-Token. Autorisierungsheader als Bearer-TokenMit der JWT-Authentifizierung für die WP REST API validiert das Plugin das Token, bevor die Anfrage verarbeitet wird. Ist das Token gültig, wird der Zugriff auf die angeforderte Ressource gewährt; andernfalls wird eine Fehlermeldung zurückgegeben. Das WordPress JWT-Authentifizierungs-Plugin übernimmt dabei sowohl die Erstellung als auch die Überprüfung der Token und gewährleistet so die Sicherheit jeder API-Anfrage.

Lesen Sie Anwendungsfälle für die folgenden Rest-API-Authentifizierungsmethoden:

WordPress-Single-Sign-On-SSO-Anmeldeformular-Add-on-Integration

API-Schlüsselauthentifizierung

OAuth 2.0-Authentifizierung

WordPress-Single-Sign-On-SSO-Medienbeschränkungs-Add-on-Integration

Basic Authentication

WordPress Single Sign-On SSO Discord Rollenzuordnung

Authentifizierung von Drittanbietern

Wie richte ich die REST-API-JWT-Authentifizierungsmethode ein?

Frei
Premium

Gehen Sie im Plugin zu Methoden konfigurieren Registerkarte im linken Bereich.
Klicken Sie auf JWT-Authentifizierung als API-Authentifizierungsmethode.

WordPress REST API JWT-Authentifizierungsmethode

Wähle aus Typ der Token-Generierung . Standardmäßig ist der HS256 Algorithmus und zufällig generierter eindeutiger geheimer Schlüssel werden jeweils verwendet und klicken Sie Nächster in der oberen rechten Ecke.
Um die Funktionalität zu testen, füllen Sie das aus Benutzername mit einem Passwort Felder für einen vorhandenen Benutzer.

Klicken Sie auf Token abrufen Als Antwort wird ein JWT-Token (jwt_token) angezeigt, dessen Wert Sie für eine GET-Anfrage in die Zwischenablage kopieren können.
Fügen Sie das aus Schritt 6 erhaltene JWT-Token ein.
Klicke Testkonfiguration und die Antwort wird auf dem Bildschirm angezeigt.
Klicken Sie auf die Farbe .

Gehen Sie im Plugin zu Konfigurieren Sie die API-Authentifizierung Tab und klicken Sie auf JWT-Authentifizierung als API-Authentifizierungsmethode.
Wähle aus Signierungsalgorithmus mit einem KundengeheimnisStandardmäßig werden der HS256-Algorithmus und ein zufällig generierter geheimer Schlüssel verwendet.
Abschließend klicken Sie auf Konfiguration speichern Daher wird die JWT-Authentifizierung für die WordPress REST-API-Authentifizierung aktiviert.

Hier müssten Sie zwei API-Aufrufe durchführen:

I: Holen Sie sich den JWT-Token

Um das JWT-Token zu erhalten, müssen Sie wie folgt einen REST-API-Aufruf an den Token-Endpunkt durchführen:

Request:POST https://<domain-name>/wp-json/api/v1/token
  Body:username = <wordpress username>
  password = <wordpress password>


  Sample curl Request Format-
  curl -d "username=<wordpress_username>&password=<wordpress_password>"
  -X POST http://<wp_base_url>/wp-json/api/v1/token

Dieser API-Endpunkt wird auch als bezeichnet Benutzerauthentifizierung API oder WordPress-Anmelde-API-Endpunkt Wenn wir also eine Anfrage an diesen Endpunkt mit den WordPress-Benutzeranmeldeinformationen stellen und die Anmeldeinformationen gültig sind, wird die erfolgreiche Antwort mit dem JWT-Token zurückgegeben, andernfalls wird die entsprechende Fehlerantwort angezeigt.

Entdecken Sie unsere Fehlerantwort für den Erhalt des JWT-Tokens.

II: API-Anfrage senden

Sobald Sie das JWT-Token erhalten haben, können Sie damit wie unten gezeigt Zugriff auf die WordPress-REST-APIs anfordern:

Request: GET  https://<domain-name>/wp-json/wp/v2/posts
  Header: Authorization : Bearer <JWT token>


  Sample curl Request Format-
  curl -H "Authorization:Bearer <jwt_token >"
  -X GET http://<wp_base_url>/wp-json/wp/v2/posts

Anmerkungen: Das obige Token ist standardmäßig 1 Stunde gültig und kann auch angepasst werden. Sobald das Token abgelaufen ist, kann es erneut generiert werden.
Entdecken Sie unsere Entwicklerdokumentation für weitere Informationen an.
Entdecken Sie unsere Fehlerantwort zum Erstellen einer API mit JWT-Token.

Herzlichen Glückwunsch! Sie haben die JWT-Authentifizierungsmethode für REST-API-Aufrufe mithilfe der miniOrange WordPress REST-API-Authentifizierungsmethode erfolgreich konfiguriert.

Codebeispiele in Programmiersprachen

RESSOURCENANFRAGE
TOKEN-ANFRAGE

 
  var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
  client.Timeout = -1;
  var request = new RestRequest(Method.GET);
  request.AddHeader("Authorization", "Bearer < jwt_token >");    
  IRestResponse response = client.Execute(request);
  Console.WriteLine(response.Content);

 
  OkHttpClient client  = new OkHttpClient().newBuilder().build();
  Request request  = new Request.Builder()
  .url("http://<wp_base_url>/wp-json/wp/v2/posts ")
  .method("GET", null)
  .addHeader = ("Authorization", "Bearer < jwt_token >")    
   .build();
  Response response= client.newCall(request).execute();

 
  var settings  = {
      "url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
      "method": "GET",
      "timeout": 0,
      "headers": {
          "Authorization": "Bearer < jwt_token >"
        },        
    };
    
    $.ajax(settings).done(function (response)  {
      console.log(response);
    });

 
  <?php
   $curl = curl_init();
  curl_setopt_array($curl, array 
      (  
          CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts%20',
          CURLOPT_RETURNTRANSFER => true,
          CURLOPT_ENCODING => '',
          CURLOPT_MAXREDIRS => 10,
          CURLOPT_TIMEOUT => 0,
          CURLOPT_FOLLOWLOCATION => true,
          CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
          CURLOPT_CUSTOMREQUEST => 'GET',
          CURLOPT_HTTPHEADER => array(
            'Authorization: Bearer < jwt_token >'
          ),
          ));          
        
  $response = curl_exec($curl);
  curl_close($curl);    
  echo $response;

 
  import http.client
  
  conn = http.client.HTTPSConnection("<wp_base_url>")
  payload= "
  headers = {
      'Authorization': 'Bearer < jwt_token >'
  }
  conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
  res= conn.getresponse()    
  data = res.read()    
  print (data.decode("utf-8"))

 
  var client = new RestClient("http://<wp_base_url>/wp-json/api/v1/token ");
  client.Timeout = -1;
  var request = new RestRequest(Method.POST);
  request.AlwaysMultipartFormData = true;
  request.AddParameter("username", "<wordpress_username>");    
  request.AddParameter("password", "<wordpress_password>");    
  IRestResponse response = client.Execute(request);
  Console.WriteLine(response.Content);

 
  OkHttpClient client  = new OkHttpClient().newBuilder().build();
  MediaType mediaType = MediaType.parse("text/plain");
  RequestBody body  = new MultipartBody.Builder().setType(MultipartBody.FORM)
  .addFormDataPart("username", "<wordpress_username>"); 
  .addFormDataPart("password", "<wordpress_password>"); 
  .build();
  Request request  = new Request.Builder()
  .url("http://<wp_base_url>/wp-json/api/v1/token ")
  .method("POST", body)
   .build();
  Response responseclient.newCall(request).execute();

 
  var form = new FormData();
  form.append("username", "<wordpress_username>");
  form.append("password", "<wordpress_password>");  
  
  var settings  = {
      "url": "http://<wp_base_url>/wp-json/api/v1/token ",
      "method": "POST",
      "timeout": 0,
      "processData": false,
      "mimeType": "multipart/form-data",
      "contentType": false,
      "data": form
      };
      
      $.ajax(settings).done(function (response)  {
      console.log(response);
      });

 
  <?php
   $curl = curl_init();
  curl_setopt_array($curl, array 
      ( 
          CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/api/v1/token%20',
          CURLOPT_RETURNTRANSFER => true,
          CURLOPT_ENCODING => '',
          CURLOPT_MAXREDIRS => 10,
          CURLOPT_TIMEOUT => 0,
          CURLOPT_FOLLOWLOCATION => true,
          CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
          CURLOPT_CUSTOMREQUEST => 'POST',
          CURLOPT_POSTFIELDS => array('username' => '<wordpress_username>','password' => '<wordpress_password>'),
          ));
          
  $response = curl_exec($curl);
  curl_close($curl);    
  echo $response;

 
  import http.client
  import mimetypes
  from codecs import encode
      
  conn   = http.client.HTTPSConnection("<wp_base_url>")
  dataList= []
  boundary = 'wL36Yn8afVp8Ag7AmP8qZ0SA4n1v9T'
  dataList.append(encode('--' + boundary))
  dataList.append(encode('Content-Disposition: form-data; name=username;'))
  
  dataList.append(encode('Content-Type: {}'.format('text/plain')))    
  dataList.append(encode(''))    
  
  dataList.append(encode("<wordpress_username>"))    
  
  dataList.append(encode('--' + boundary))
  dataList.append(encode('Content-Disposition: form-data; name=password;'))    
  
  dataList.append(encode('Content-Type: {}'.format('text/plain')))    
  dataList.append(encode(''))    
  
  dataList.append(encode("<wordpress_password>"))    
  dataList.append(encode('--'+boundary+'--'))
  dataList.append(encode(''))
  body  = b'\r\n'.join(dataList)    
  payload= body
  headers = {
    'Content-type': 'multipart/form-data; boundary={}'.format(boundary) 
  }
  conn.request("POST", "/wp-json/api/v1/token", payload, headers)
  res= conn.getresponse()    
  data = res.read()    
  print (data.decode("utf-8"))

Postboten-Beispiele:

Führen Sie die folgenden Schritte aus, um eine REST-API-Anfrage mit Postman zu stellen:

Klicken Sie auf Postman-Proben Registerkarte im Plugin.

WordPress REST API JWT-Authentifizierungsmethode Postman-Implementierung

A JSON-Datei wird automatisch heruntergeladen.

WordPress REST API JWT Authentifizierungsmethode Postman JSON-Datei

Importieren Sie das heruntergeladene JSON-Datei in die Postman-Anwendung ein, wie unten gezeigt.

a) REST-API-Anforderung zum Abrufen des JWT-Tokens

Sobald Sie die JSON-Datei importiert haben, klicken Sie auf die REST-API-Anfrage unter Kollektionen wie in der letzten Abbildung gezeigt. Ersetzen Sie die mit Ihrer Wordpress-Domain im http://<wp_base_url>/wp-json/wp/v2/posts und ersetzen Sie die mit WordPress-Benutzername und mit WordPress-Passwort in den Body-Parametern.

WordPress REST JWT-Authentifizierungsmethode Postman ersetzt Basis-URL

Beispiel

Beispiel für die WordPress-REST-JWT-Authentifizierungsmethode Postman zum Ersetzen der Basis-URL

Anmerkungen: Kopieren Sie das aus der Antwort erhaltene JWT-Token. Es wird in den Ressourcen-API-Anfragen zur Authentifizierung verwendet.

b) REST-API-Anforderung zum Abrufen der tatsächlichen Ressource

Sobald Sie die JSON-Datei importiert haben, klicken Sie auf die REST-API-Anfrage unter Kollektionen wie in der letzten Abbildung gezeigt. Ersetzen Sie die mit Ihrer Wordpress-Domain im http://<wp_base_url>/wp-json/wp/v2/posts und ersetzen Sie die wobei das JWT-Token aus der nach der Token-Anfrage erhaltenen Antwort kopiert wird.

WordPress REST JWT-Authentifizierungsmethode Postman ersetzt die tatsächliche Basis-URL der Ressource

Beispiel

WordPress REST API JWT Authentifizierungsmethode Postman ersetzt URL tatsächliche Ressource

Feature Beschreibung

1. Einschränkung der rollenbasierten REST-API:

Diese Funktion beschränkt den Zugriff auf die WordPress REST-API basierend auf BenutzerregelnSie können bestimmte Rollen auf eine Zulassungsliste setzen, die auf bestimmte REST-API-Ressourcen zugreifen dürfen. Wenn eine REST-API-Anfrage gestellt wird, Die Rolle des Benutzers wird überprüftDer Zugriff wird nur gewährt, wenn sich die Rolle auf der Zulassungsliste befindet.

Wie konfiguriere ich eine rollenbasierte REST-API-Einschränkung in WordPress?

Gehen Sie zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
Im Abschnitt „Rollenbasierte Einschränkung“ ist allen Rollen standardmäßig der Zugriff auf APIs gestattet.
Aktivieren Sie das Kontrollkästchen neben den Rollen, deren Zugriff auf die APIs Sie einschränken möchten.

Postman-Implementierung der WordPress-REST-API-Basisauthentifizierungsmethode

Im obigen Screenshot ist das Kontrollkästchen für die Abonnentenrolle aktiviert. Wenn ein Benutzer in seiner Rolle als Abonnent eine API-Anfrage stellt, darf er nicht auf die angeforderte Ressource zugreifen.

Hinweis: Die rollenbasierte Einschränkungsfunktion ist für die Basisauthentifizierung (Benutzername: Kennwort), die JWT-Methode und OAuth 2.0 (Kennwortzuweisung) gültig.

2. Benutzerdefinierter Header:

Mit der Funktion „Benutzerdefinierter Header“ können Sie einen benutzerdefinierter Header anstelle des standardmäßigen „Authorization“-Headers. Dadurch wird ein zusätzliche Sicherheitsebene Die REST-API akzeptiert nur Anfragen mit dem von Ihnen definierten benutzerdefinierten Header-Namen. Versucht jemand, eine Anfrage mit dem Standard-Header „Authorization“ zu senden, wird der Zugriff verweigert.

Wie konfiguriere ich einen benutzerdefinierten Header für die WordPress REST-API-Authentifizierung?

Gehen Sie zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
Geben Sie im Abschnitt „Benutzerdefinierte Kopfzeile“ Ihren bevorzugten Kopfzeilennamen in das Textfeld ein.
Speichern Sie die Änderungen, um den neuen benutzerdefinierten Header für API-Anfragen anzuwenden.

3. REST-APIs ausschließen:

Mit der Funktion „REST-APIs ausschließen“ können Sie bestimmte REST-API-Endpunkte zugegriffen werden ohne AuthentifizierungDiese ausgeschlossenen APIs werden Öffentlich verfügbar, sodass sie ohne Token oder Anmeldung zugänglich sind.

Wie konfiguriere ich eine ausgeschlossene REST-API in der JWT-Authentifizierung?

Gehen Sie zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
Geben Sie im Abschnitt „REST-APIs ausschließen“ Ihre API-Endpunkte im erforderlichen Format ein.
Die eingegebenen APIs werden von der Authentifizierung ausgeschlossen und für den öffentlichen Zugriff verfügbar gemacht.

Beispiel: Angenommen, Sie möchten die REST-API ausschließen. /wp-json/wp/v2/posts‘, dann müssen Sie ‚/wp/v2/posts‘ in das Textfeld eingeben.

4. Ablauf des benutzerdefinierten Tokens:

Die Funktion „Benutzerdefiniertes Token-Ablauf“ funktioniert mit JWT und OAuth 2.0 Authentifizierungsmethoden, mit denen Sie festlegen können benutzerdefinierte Ablaufzeiten für Tokens, die für den Zugriff auf WordPress REST API-Endpunkte verwendet werden. Nach Ablauf der konfigurierten Zeit wird das Token automatisch ungültig. ungültig, wodurch die Sicherheit erhöht wird und Sie die Kontrolle über die Zugriffsdauer haben.

Wie lege ich das Ablaufdatum eines benutzerdefinierten Tokens bei der JWT-Authentifizierung fest?

Gehen Sie zur Registerkarte „Erweiterte Einstellungen“ des Plugins.
Öffnen Sie den Abschnitt „Konfiguration des Token-Ablaufs“.
Passen Sie die Ablaufzeit des Zugriffstokens an (Standard: 60 Minuten).
(Für OAuth 2.0) Passen Sie die Ablaufzeit des Aktualisierungstokens an (Standard: 14 Tage).
Speichern Sie die Änderungen, um Ihre benutzerdefinierten Token-Ablaufeinstellungen anzuwenden.

5. Signaturvalidierung für JWT-basierte Token:

Die Funktion zur Signaturvalidierung signiert sicher JWT-Token zum Schutz der WordPress REST API-Authentifizierung. Jede Token-Signatur kann nur mit Hilfe der Clientgeheimnis oder Zertifikat, um sicherzustellen, dass die Signatur erhalten bleibt privat und sicher und können von nicht autorisierten Benutzern weder abgerufen noch geändert werden.

Wie konfiguriere ich die JWT-Signaturvalidierung mit HS256 oder RS256?

Das Plugin unterstützt zwei Signaturalgorithmen für JWT-Token: HS256 und RS256Sie können einen der beiden Algorithmen aus dem Dropdown-Menü auswählen. Um die Signaturvalidierung abzuschließen, fügen Sie Ihre hinzu. Clientgeheimnis oder Zertifikat, das verwendet wird, um die JWT-Signatur sicher zu signieren und sicherzustellen Token-Authentizität.

6. Aktualisierungstoken

Aktualisierungstoken ist ein langlebiges Token, das verwendet wird, um ein neues Zugriffstoken zu erhalten, ohne dass sich der Benutzer erneut anmelden muss. Diese Funktion ist entscheidend für die Aufrechterhaltung eines Benutzersitzung wenn das Zugriffstoken abläuft. Zugriffstoken haben typischerweise ein Kurze Lebensdauer (etwa 15 Minuten bis 1 Stunde) aus Sicherheitsgründen, Refresh-Tokens sind jedoch so konzipiert, dass sie länger gültig sind (Tage, Wochen oder sogar Monate).

7. Token widerrufen

Widerrufen eines Tokens bedeutet, es vor seinem Ablauf ungültig zu machen. Diese Funktion ist entscheidend für Sicherheitdienstinsbesondere in Fällen wie:

Ein Benutzer meldet sich von seiner Sitzung ab.
Ein Benutzer ändert sein Passwort.
Ein Token ist kompromittiert (gestohlen oder durchgesickert).
Administratoren möchten für bestimmte Benutzer eine Abmeldung erzwingen oder Token ungültig machen (z. B. nach einer Sicherheitsverletzung).

Häufig gestellte Fragen (FAQ)

Wie gewährleistet JWT die Sicherheit bei der Authentifizierung?

JWT gewährleistet Sicherheit durch tokenbasierte Authentifizierung, die jede Anfrage verifiziert, ohne Benutzernamen und Passwörter wiederholt senden zu müssen. Bei der JWT-Authentifizierung für die WordPress REST API wird das Token digital signiert (HS256) oder mit einem privaten Schlüssel signiert (RSA), sodass es nicht unbemerkt verändert werden kann. Tokens laufen zudem nach einer festgelegten Zeit ab, was das Risiko minimiert, falls ein Token jemals kompromittiert wird. Dadurch ist die WordPress-JWT-Authentifizierung eine sichere Methode zum Schutz von WordPress REST API-Endpunkten.

Wo füge ich das JWT-Token in meiner API-Anfrage hinzu?

Sie müssen das Token in den Anfrageheadern mithilfe des Authorization-Headers als Bearer-Token hinzufügen. Dies ist der Standardansatz bei der JWT-Authentifizierung für WP REST-APIs und grundlegend für die JWT-Token-basierte Authentifizierung. Zum Beispiel:
Authorization: Bearer YOUR_JWT_TOKEN

Was passiert, wenn mein JWT-Token abläuft? Wie aktualisiere ich es?

Wenn das Zugriffstoken abläuft, gibt die API einen Autorisierungsfehler (typischerweise 401) zurück. Mit der WordPress-JWT-Authentifizierung können Sie ein Aktualisierungstoken (WP JWT-Aktualisierungstoken) verwenden, um ein neues Zugriffstoken anzufordern, ohne sich erneut anmelden zu müssen. Dieser Ablauf ist ein wesentlicher Vorteil der JWT-Token-basierten Authentifizierung und gewährleistet sichere und benutzerfreundliche Sitzungen bei der JWT-Authentifizierung für WP REST-APIs.

Unterstützt das Plug-In sowohl HS256- als auch RSA-Algorithmen zur Token-Generierung?

Ja. Das Plugin unterstützt je nach Konfiguration sowohl die Token-Signierung mit HS256 als auch mit RSA. HS256 verwendet ein gemeinsames Geheimnis, während RSA ein öffentliches/privates Schlüsselpaar nutzt. Diese Flexibilität stärkt die JWT-Token-basierte Authentifizierung und erfüllt unterschiedliche Sicherheitsanforderungen für die JWT-Authentifizierung der WP REST API.

Wie kann ich testen, ob die JWT-Authentifizierung auf meiner WordPress-Site ordnungsgemäß funktioniert?

Sie können die WordPress-JWT-Authentifizierung in einem einfachen zweistufigen Ablauf testen:

Token generieren: Verwenden Sie den Token-Endpunkt des Plugins mit gültigen WordPress-Zugangsdaten und bestätigen Sie den Empfang eines JWT. curl -d" username=& Passwort =" -X POST http:///wp-json/api/v1/token
Aufruf eines geschützten REST-API-Endpunkts: Senden Sie eine Anfrage an einen geschützten Endpunkt mit:
Authorization: Bearer YOUR_JWT_TOKEN

Fordern Sie eine Demo des Plugins an

Holen Sie sich die Testversion mit vollem Funktionsumfang

Vielen Dank für Ihre Antwort. Wir werden uns in Kürze bei Ihnen melden.

Etwas ist schief gelaufen. Bitte senden Sie Ihre Anfrage erneut

Integrieren Sie die externen/Drittanbieter-REST-API-Endpunkte

Hilfe benötigt?

Mailen Sie uns weiter apisupport@xecurify.com für eine schnelle Anleitung (per E-Mail/Besprechung) zu Ihrem Bedarf und unser Team wird Ihnen helfen, die am besten geeignete Lösung/den am besten geeigneten Plan entsprechend Ihrem Bedarf auszuwählen.

Inhalte