Método de autenticación de clave API REST de WordPress | API REST segura

La autenticación de la clave API REST de WordPress implica verificar la clave API (token de portador) para obtener acceso a las API REST de WP. Cada vez que se inicia una solicitud para acceder a los puntos finales de la API REST de WP, es necesaria la autenticación mediante la clave (token de portador). El acceso a los recursos para el punto final de la API REST de WordPress solicitado se otorga en función de la validación de la clave API (token de portador).

Para que conste, la clave API es un protocolo de autenticación diseñado para permitir a los desarrolladores generar claves de autenticación que podría usarse para recursos como procesos del lado del servidor, aplicaciones de teléfonos móviles y computadoras de escritorio.

El método de autenticación de clave API de WordPress es un medio vital para garantizar la seguridad de su API REST de WordPress. Si la clave API se ve comprometida, se puede regenerar, lo que hace que todas las claves generadas anteriormente caduquen automáticamente. La clave recién creada se utilizará para la autenticación de clave API de WP. No proteger su API REST puede plantear importantes riesgos de seguridad, ya que puede proporcionar acceso a su sistema a personas no autorizadas, lo que podría provocar violaciones de datos.

Esta guía lo guiará a través de un proceso detallado, paso a paso, para instalación y configuración de la autenticación API REST de WordPress para mejorar la seguridad de su API REST.

Autenticación de la API Rest de WordPress

Por miniOrange

El complemento de autenticación de API REST de WordPress brinda seguridad contra el acceso no autorizado a sus API REST de WordPress.

Para saber más

Pasos para descargar e instalar

• Inicie sesión en su cuenta de WordPress como administrador.
• Ir a WordPress Panel de control -> Complementos y haga clic en Añadir nuevo.
• Buscar un WordPress Autenticación de API REST complemento y haga clic en Instalar ahora .
• Una vez instalado, haga clic en Activar.

Caso de uso: Proteger/proteger el acceso a los puntos finales de la API REST de WordPress mediante clave/token de portador

1.  La autenticación de clave API puede servir como protección para sus puntos finales de API REST de WordPress, como publicaciones, páginas o cualquier otra API REST de WordPress, protegiéndolos del acceso no autorizado y eliminando la necesidad de compartir las credenciales de inicio de sesión de WP de un usuario o la identificación del cliente y el cliente. secreto para la autenticación. Este enfoque de generación de claves API de WordPress crea una clave de autenticación única, que puede utilizar para autenticar varias API REST de WordPress en su sitio web.

El uso de la autenticación de clave API REST de WordPress representa uno de los enfoques más fáciles y más ampliamente adoptados para fortalecer su API REST de WP con autenticación de clave API. Este enfoque mejora la seguridad de las API REST en su sitio web de WordPress.




2.   Imagine que ha desarrollado una aplicación de blog para Android e iOS y ha publicado todos sus blogs en WordPress. Sin embargo, le gustaría recuperar las publicaciones/blogs de las API REST de WordPress y mantenerlos inaccesibles al público. En tales casos, es recomendable implementar la autenticación de clave API REST de WordPress para salvaguardar sus solicitudes GET, garantizando la seguridad de sus puntos finales.

  El complemento proporciona dos tipos de claves API/tokens de seguridad que se pueden usar para autenticar las API REST de WordPress:

I. Clave API universal - La clave API universal será la más adecuada para autenticar las API REST de WP, que implican el método HTTP GET y no requieren capacidades de usuario de WordPress.




Ten en cuenta que: Esta clave no implica capacidades del usuario y no se puede utilizar para acceder a aquellas API para las que WordPress espera permisos del usuario. "Ejemplo - Si solo desea utilizar las API GET para buscar publicaciones, comentarios, etc. generales de WordPress”.




II. Clave API específica del usuario - La API basada en usuario será la más adecuada para autenticar las API REST de WP que involucran cualquiera de los métodos HTTP como: GET, POST, PUT, DELETE, especialmente en aquellos casos en los que desea realizar operaciones que involucran capacidades del usuario.




Ejemplo Si desea realizar alguna operación como buscar publicaciones de WordPress en función de las capacidades del usuario (sus roles de WP), datos del usuario o desea crear nuevos usuarios, nuevas publicaciones, etc.

Lea los casos de uso de los siguientes métodos de autenticación de Rest API:

Autenticación básica

Autenticación JWT

Autenticación OAuth 2.0

Autenticación de proveedores externos

1. Configurar el complemento de autenticación API de WordPress [De primera calidad]

• En el complemento, vaya a Configurar la pestaña Autenticación API y haga clic en Autenticación de clave API como método de autenticación API.
• Una vez que guarde la configuración, en el Sección de clave API universal Obtendrá la opción de Generar nuevo token, haga clic en Generar nueva clave botón. Esta clave/token caducará cuando genere una nueva clave/token.
• Una vez que genere la clave API (token), puede usarla para proteger sus puntos finales de la API REST de WordPress. (Siempre puedes generar la nueva clave API y todas las claves generadas existentes caducarán automáticamente).
• Debe pasar la clave API al encabezado de Autorización como token de portador mientras realiza la solicitud de API REST a su sitio WP, como se muestra en el paso a continuación.
• Los usuarios que tengan este token pueden acceder a la API REST como se muestra a continuación.

  Request: GET https://<domain-name>/wp-json/wp/v2/posts
  Header:Authorization: Bearer <token>

  Sample request:  GET https://<domain-name>/wp-json/wp/v2/posts
  Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s

  Sample curl Request Format-
  curl -H "Authorization:Bearer <token-value>"
  -X GET http://<wp_base_url>/wp-json/wp/v2/posts
  

• El encabezado se explica a continuación.

   I. Authorization : El HTTP Autorización El encabezado de solicitud generalmente incluye las credenciales del agente de usuario o el tipo de token y el valor del token, lo que sirve como medio para autenticar el agente de usuario con un servidor. Esto suele ocurrir después de un intento de autenticación fallido, donde el servidor responde con un estado de 401 no autorizado.

   II. Bearer <token-value>: El Portador es creado por el servidor de autenticación. Cuando una aplicación cliente solicita el servidor de autenticación, el servidor autentica ese token y da una respuesta a la aplicación cliente en consecuencia.

• Primero eche un vistazo al sitio web de la página documentación del desarrollador para más información.
• Primero eche un vistazo al sitio web de la página Respuesta de error para autenticación de clave API.

Ejemplos de código en lenguajes de programación.

• C# - RestSharp
• Java-OkHttp
• JavaScript-JQuery
• PHP - rizo
• Python-https

 
  var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
  client.Timeout = -1;
  var request = new RestRequest(Method.GET);
  request.AddHeader("Authorization", "Bearer <token-value>");    
  IRestResponse response = client.Execute(request);
  Console.WriteLine(response.Content);
  

 
  OkHttpClient client  = new OkHttpClient().newBuilder().build();
  Request request  = new Request.Builder()
  .url("http://<wp_base_url>/wp-json/wp/v2/posts ")
  .method("GET", null)
   .addHeader = ("Authorization", "Bearer <token-value>")    
   .build();
  Response responseclient.newCall(request).execute();
          

 
  var settings  = {
      "url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
      "method": "GET",
      "timeout": 0,
      "headers": {
          "Authorization": "Bearer <token-value >"
        },        
    };
    
    $.ajax(settings).done(function (response)  {
      console.log(response);
    });
    

 
  <?php
   $curl = curl_init();
  curl_setopt_array($curl, array 
      (  
        CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
        CURLOPT_RETURNTRANSFER => true,
        CURLOPT_ENCODING => '',
        CURLOPT_MAXREDIRS => 10,
        CURLOPT_TIMEOUT => 0,
        CURLOPT_FOLLOWLOCATION => true,
        CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
        CURLOPT_CUSTOMREQUEST => 'GET',
        CURLOPT_HTTPHEADER => array(
          'Authorization: Bearer <token-value>'
        ),
      
          ));          
        
  $response = curl_exec($curl);
  curl_close($curl);    
  echo $response;
          

 
  import http.client
  
  conn   = http.client.HTTPSConnection("<wp_base_url>")
  payload= "
  headers = {
      'Authorization': 'Bearer <token-value>'
  }
  conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
  res= conn.getresponse()    
  data = res.read()    
  print (data.decode("utf-8"))   
  

Muestras de cartero:

Siga los pasos a continuación para realizar una solicitud de API REST utilizando Postman:

• Descargue la exportación de la colección POSTMAN desde esta página.
• Importe el archivo JSON descargado a la aplicación Postman como se muestra a continuación.

• Una vez que importe el archivo JSON, haga clic en el Solicitud de API REST bajo el Colecciones como se muestra en la última figura. Ahora reemplace el con su dominio de Wordpress en el http://<wp_base_url>/wp-json/wp/v2/posts y reemplazar la API en el encabezado con el valor del token generado en el complemento.
• Ejemplo:

Descripción de la característica

1. Restricciones de la API REST basada en roles:

Esta característica permite restringir el acceso a la API REST según los roles de los usuarios. Tiene la opción de especificar qué roles deben tener permiso para acceder al recurso solicitado a través de las API REST. Por lo tanto, cuando un usuario inicia una solicitud de API REST, se recupera su función y solo se concede acceso al recurso si su función está incluida en la lista blanca.




¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• En la sección Restricción basada en roles, inicialmente, todos los roles tienen acceso a las API de forma predeterminada. Sin embargo, puede limitar el acceso de forma selectiva habilitando la casilla de verificación junto a los roles que desea restringir.

• En la captura de pantalla anterior, la casilla de verificación de función de suscriptor está habilitada. Entonces, cada vez que un usuario realiza una solicitud de API con su rol de suscriptor, ese usuario no podrá acceder al recurso solicitado.

Nota: La función de restricción basada en roles es válida para autenticación básica (nombre de usuario: contraseña), método JWT, OAuth 2.0 (concesión de contraseña) y autenticación de clave API (clave API específica del usuario).




2. Encabezado personalizado

Esta característica proporciona una opción para elegir un encabezado personalizado en lugar del encabezado predeterminado "Autorización". Esto mejorará la seguridad al introducir un encabezado con un nombre personalizado. Si una persona intenta enviar una solicitud de API REST con un encabezado de "Autorización", no podrá acceder a las API.




¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Entonces en el 'Cabecera personalizada' sección, puede editar el cuadro de texto para ingresar el nombre personalizado que desee.




3. Excluir las API REST

Esta función le permite crear una lista blanca para sus API REST, lo que permite el acceso directo a ellas sin necesidad de autenticación. En consecuencia, todas las API REST incluidas en esta lista blanca pasan a ser de acceso público.




¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Luego, en 'Excluir API REST', puede ingresar sus API en el formato prescrito que debe incluirse en la lista blanca para el acceso público.

• Ejemplo: Supongamos que desea excluir la API REST '/wp-json/wp/v2/posts', entonces debe ingresar '/wp/v2/posts' en el cuadro de texto.



4. Cree claves/tokens API específicos del usuario

• Esta función está disponible dentro del método de clave API, lo que permite generar tokens en función de información específica del usuario en lugar de un token generado aleatoriamente, que es una clave universal.
• Al utilizar la clave/token de API universal, es posible que los usuarios carezcan de los permisos necesarios para acceder a API REST específicas de WordPress con métodos de solicitud como POST, PUT o DELETE. Estas API implican acciones como la creación de usuarios, publicaciones, páginas, etc., que requieren permisos o roles de usuario específicos para su funcionamiento. La limitación surge porque la clave universal se genera aleatoriamente y no incluye detalles específicos del usuario.
• La función de clave/token de API basada en el usuario permite a los usuarios utilizar las API REST de WordPress con métodos de solicitud como POST, PUT y DELETE, que exigen credenciales de usuario o roles específicos para la funcionalidad. Cuando se ejecuta una solicitud de API REST de WordPress utilizando la clave basada en el usuario, el sistema recupera la función del usuario y otorga acceso únicamente si el usuario posee los permisos necesarios.
• Por Ejemplo: Solo los usuarios con roles de administrador y editor tienen permiso para crear/editar/eliminar una publicación.
• Por lo tanto, si se realiza una solicitud a esta API para crear/eliminar/editar la publicación, la respuesta de la API dará como resultado "No tiene permiso para realizar esta operación".
• Ahora, si se realiza una solicitud con el token basado en usuario generado para el usuario que tiene un rol de administrador o editor, solo él tiene acceso a esta API y puede operar (crear/actualizar/eliminar) a través de la llamada API.

Cómo utilizar esta función:

• Seleccione el usuario del menú desplegable y haga clic en el Crear clave API del botón.

• Aparecerá una ventana emergente en la pantalla, sólo tienes que hacer clic en el OK botón para copiar el token.

• Ahora este token se puede usar con la solicitud de API del mismo modo que se usa la clave universal para realizar la solicitud de API.

¡Felicidades! Ha configurado correctamente la autenticación de clave API REST de WordPress utilizando esta guía. Ahora, sus puntos finales de la API REST de WordPress están seguros y sus datos están protegidos contra el acceso no autorizado.

Recursos adicionales

• Método de autenticación básica de la API REST de WordPress
• Método de autenticación OAuth 2.0 de la API REST de WordPress

¿Necesitas ayuda?

Envíenos un correo electrónico a apisupport@xecurify.com para obtener orientación rápida (por correo electrónico/reunión) sobre sus necesidades y nuestro equipo le ayudará a seleccionar la mejor solución/plan adecuado según sus necesidades.