El complemento de autenticación de API REST de WordPress brinda seguridad contra el acceso no autorizado a sus API REST de WordPress.
Resultados de la búsqueda :
×La autenticación de la clave API REST de WordPress implica verificar la clave API (token de portador) para obtener acceso a las API REST de WP. Cada vez que se inicia una solicitud para acceder a los puntos finales de la API REST de WP, es necesaria la autenticación mediante la clave (token de portador). El acceso a los recursos para el punto final de la API REST de WordPress solicitado se otorga en función de la validación de la clave API (token de portador).
Para que conste, la clave API es un protocolo de autenticación diseñado para permitir a los desarrolladores generar claves de autenticación que podría usarse para recursos como procesos del lado del servidor, aplicaciones de teléfonos móviles y computadoras de escritorio.
El método de autenticación de clave API de WordPress es un medio vital para garantizar la seguridad de su API REST de WordPress. Si la clave API se ve comprometida, se puede regenerar, lo que hace que todas las claves generadas anteriormente caduquen automáticamente. La clave recién creada se utilizará para la autenticación de clave API de WP. No proteger su API REST puede plantear importantes riesgos de seguridad, ya que puede proporcionar acceso a su sistema a personas no autorizadas, lo que podría provocar violaciones de datos.
Esta guía lo guiará a través de un proceso detallado, paso a paso, para instalación y configuración de la autenticación API REST de WordPress para mejorar la seguridad de su API REST.
El complemento de autenticación de API REST de WordPress brinda seguridad contra el acceso no autorizado a sus API REST de WordPress.
1. La autenticación de clave API puede servir como protección para sus puntos finales de API REST de WordPress, como publicaciones, páginas o cualquier otra API REST de WordPress, protegiéndolos del acceso no autorizado y eliminando la necesidad de compartir las credenciales de inicio de sesión de WP de un usuario o la identificación del cliente y el cliente. secreto para la autenticación. Este enfoque de generación de claves API de WordPress crea una clave de autenticación única, que puede utilizar para autenticar varias API REST de WordPress en su sitio web.
El uso de la autenticación de clave API REST de WordPress representa uno de los enfoques más fáciles y más ampliamente adoptados para fortalecer su API REST de WP con autenticación de clave API. Este enfoque mejora la seguridad de las API REST en su sitio web de WordPress.
2. Imagine que ha desarrollado una aplicación de blog para Android e iOS y ha publicado todos sus blogs en WordPress. Sin embargo, le gustaría recuperar las publicaciones/blogs de las API REST de WordPress y mantenerlos inaccesibles al público. En tales casos, es recomendable implementar la autenticación de clave API REST de WordPress para salvaguardar sus solicitudes GET, garantizando la seguridad de sus puntos finales.
El complemento proporciona dos tipos de claves API/tokens de seguridad que se pueden usar para autenticar las API REST de WordPress:
I. Clave API universal - La clave API universal será la más adecuada para autenticar las API REST de WP, que implican el método HTTP GET y no requieren capacidades de usuario de WordPress.
Ten en cuenta que: Esta clave no implica capacidades del usuario y no se puede utilizar para acceder a aquellas API para las que WordPress espera permisos del usuario. "Ejemplo - Si solo desea utilizar las API GET para buscar publicaciones, comentarios, etc. generales de WordPress”.
II. Clave API específica del usuario - La API basada en usuario será la más adecuada para autenticar las API REST de WP que involucran cualquiera de los métodos HTTP como: GET, POST, PUT, DELETE, especialmente en aquellos casos en los que desea realizar operaciones que involucran capacidades del usuario.
Ejemplo Si desea realizar alguna operación como buscar publicaciones de WordPress en función de las capacidades del usuario (sus roles de WP), datos del usuario o desea crear nuevos usuarios, nuevas publicaciones, etc.
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
I. Authorization :
El HTTP Autorización El encabezado de solicitud generalmente incluye las credenciales del agente de usuario o el tipo de token y el valor del token, lo que sirve como medio para autenticar el agente de usuario con un servidor. Esto suele ocurrir después de un intento de autenticación fallido, donde el servidor responde con un estado de 401 no autorizado.
II. Bearer <token-value>:
El Portador es creado por el servidor de autenticación. Cuando una aplicación cliente solicita el servidor de autenticación, el servidor autentica ese token y da una respuesta a la aplicación cliente en consecuencia.
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>")
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer <token-value >"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Siga los pasos a continuación para realizar una solicitud de API REST utilizando Postman:
1. Restricciones de la API REST basada en roles:
Esta característica permite restringir el acceso a la API REST según los roles de los usuarios. Tiene la opción de especificar qué roles deben tener permiso para acceder al recurso solicitado a través de las API REST. Por lo tanto, cuando un usuario inicia una solicitud de API REST, se recupera su función y solo se concede acceso al recurso si su función está incluida en la lista blanca.
¿Cómo configurarlo?
Nota: La función de restricción basada en roles es válida para autenticación básica (nombre de usuario: contraseña), método JWT, OAuth 2.0 (concesión de contraseña) y autenticación de clave API (clave API específica del usuario).
2. Encabezado personalizado
Esta característica proporciona una opción para elegir un encabezado personalizado en lugar del encabezado predeterminado "Autorización". Esto mejorará la seguridad al introducir un encabezado con un nombre personalizado. Si una persona intenta enviar una solicitud de API REST con un encabezado de "Autorización", no podrá acceder a las API.
¿Cómo configurarlo?
3. Excluir las API REST
Esta función le permite crear una lista blanca para sus API REST, lo que permite el acceso directo a ellas sin necesidad de autenticación. En consecuencia, todas las API REST incluidas en esta lista blanca pasan a ser de acceso público.
¿Cómo configurarlo?
4. Cree claves/tokens API específicos del usuario
Cómo utilizar esta función:
¡Felicidades! Ha configurado correctamente la autenticación de clave API REST de WordPress utilizando esta guía. Ahora, sus puntos finales de la API REST de WordPress están seguros y sus datos están protegidos contra el acceso no autorizado.
Envíenos un correo electrónico a apisupport@xecurify.com para obtener orientación rápida (por correo electrónico/reunión) sobre sus necesidades y nuestro equipo le ayudará a seleccionar la mejor solución/plan adecuado según sus necesidades.
¿Necesitas ayuda? ¡Estamos aquí!
Gracias por su consulta.
Si no recibe noticias nuestras dentro de las 24 horas, no dude en enviar un correo electrónico de seguimiento a info@xecurify.com
Esta declaración de privacidad se aplica a los sitios web de miniorange que describen cómo manejamos la información personal. Cuando visita cualquier sitio web, este puede almacenar o recuperar información en su navegador, principalmente en forma de cookies. Esta información puede ser sobre usted, sus preferencias o su dispositivo y se utiliza principalmente para que el sitio funcione como usted espera. La información no lo identifica directamente, pero puede brindarle una experiencia web más personalizada. Haga clic en los encabezados de las categorías para comprobar cómo manejamos las cookies. Para conocer la declaración de privacidad de nuestras soluciones, puede consultar la políticas de privacidad.
Las cookies necesarias ayudan a que un sitio web sea totalmente utilizable al permitir funciones básicas como navegación en el sitio, iniciar sesión, completar formularios, etc. Las cookies utilizadas para la funcionalidad no almacenan ninguna información de identificación personal. Sin embargo, algunas partes del sitio web no funcionarán correctamente sin las cookies.
Estas cookies solo recopilan información agregada sobre el tráfico del sitio web, incluidos visitantes, fuentes, clics y visitas a la página, etc. Esto nos permite saber más sobre nuestras páginas más y menos populares junto con la interacción de los usuarios en los elementos procesables y, por lo tanto, permitirnos mejorar el rendimiento de nuestro sitio web y nuestros servicios.