Método de autenticación OAuth 2.0 de la API REST de WordPress

OAuth 2.0 es el método más elegido para autenticar el acceso a las API. OAuth 2.0 permite la autorización sin necesidad de proporcionar la dirección de correo electrónico o la contraseña del usuario a una aplicación externa. Este método de autenticación OAuth 2.0 de la API REST de WordPress implica el uso del flujo del protocolo OAuth 2.0 para obtener el token de acceso de seguridad o token de identificación (token JWT) y ese token se utilizará para autenticar los puntos finales de la API REST de WordPress. Cada vez que se realice una solicitud para acceder al punto final de la API REST de WordPress, la autenticación se realizará contra ese token de acceso/token de identificación (token JWT) y, en función de la verificación de ese token de portador de API, los recursos para esa API. Se permitirá el acceso a la solicitud.

El token proporcionado mediante el método de autenticación OAuth 2.0 está altamente cifrado y es seguro, por lo que la seguridad no se ve comprometida. Es el método más seguro para autenticar/proteger los puntos finales de la API REST de WordPress. Este método es algo similar al método de autenticación JWT pero mucho más seguro debido a los diversos beneficios del protocolo OAuth 2.0.

Autenticación de la API Rest de WordPress

Por miniOrange

El complemento de autenticación de API REST de WordPress brinda seguridad contra el acceso no autorizado a sus API REST de WordPress.

Para saber más

Requisitos previos: descarga e instalación

• Inicie sesión en su instancia de WordPress como administrador.
• Ir a WordPress Panel de control -> Complementos y haga clic en Añadir nuevo.
• Buscar un WordPress Autenticación de API REST complemento y haga clic en Instalar ahora .
• Una vez instalado, haga clic en Activar.

Caso de uso: Proteger la API REST con el método de autenticación OAuth 2.0

1. Concesión de contraseña:

Caso de uso: registrar usuarios de WordPress o autenticar/iniciar sesión de usuarios en plataformas externas según las credenciales de WordPress a través de la API REST de WordPress

Supongamos que tiene un formulario de inicio de sesión en su aplicación y desea autenticar al usuario basándose en sus credenciales de inicio de sesión de WordPress, entonces la autenticación OAuth 2.0 en el método REST API lo ayudará a lograrlo. El complemento proporciona una API de inicio de sesión de WordPress. Puede pasar fácilmente las credenciales de WordPress de ese usuario a esta API y, según la validación, recibirá la autenticación y la respuesta.
Además, la implementación de la autenticación OAuth 2.0 en el método API REST también se puede utilizar para registrar usuarios en WordPress utilizando las credenciales de administrador del usuario de WordPress. Al utilizar el punto final del token OAuth 2.0 del complemento, puede pasar credenciales de usuario de WordPress que tienen capacidades de administrador, de modo que el token generado tendrá capacidades de administrador que se pueden usar para realizar operaciones como el registro de usuarios para las cuales se requieren privilegios administrativos. Una vez que tenga el token, puede usarlo con la API de wordPress '/users' para registrar usuarios en WordPress mediante una solicitud de API REST.

2. Credenciales del cliente:

Caso de uso: autenticar/proteger los puntos finales de la API REST de WordPress de forma segura o registrar usuarios en WordPress sin utilizar credenciales de usuario administrador.

Si desea acceder a la API REST de WordPress sin pasar las credenciales de usuario de WordPress o desea registrar a los usuarios en WordPress de forma segura sin necesidad de pasar las credenciales de usuario administrador de WordPress y en su lugar pasar las credenciales de cliente proporcionadas por el complemento, entonces este método es el Solución perfecta para que no haya ninguna posibilidad de que las credenciales del usuario se vean comprometidas.
El complemento actúa como proveedor de identidad (servidor) OAuth 2.0 que proporciona el token y el autenticador de API REST para la autenticación de estos puntos finales de la API REST de WordPress en función del token. Por lo tanto, proporciona la máxima seguridad para obtener el token y ese token se puede utilizar para autenticar la solicitud de API REST.

• El flujo para implementar el método de autenticación OAuth 2.0 en los métodos de API REST se explica a continuación:

1. La solicitud de la API REST se realizará con los parámetros adecuados para obtener el token de nuestro complemento. Nuestro complemento actuará como proveedor de identidad OAuth 2.0 y proporcionará el token de acceso.

2. La solicitud de API REST real para acceder al recurso se realizará con el token de acceso recibido en el último paso pasado en el encabezado de Autorización con el tipo de token como Portador. El complemento ahora actúa como autenticador para autenticar la API según la validez del token. Si el token se valida correctamente, el solicitante de la API podrá acceder al recurso; de lo contrario, en caso de validación fallida, se devolverá una respuesta de error.

Caso de uso relacionado:

• ¿Cómo iniciar sesión o registrar usuarios utilizando la API REST de WordPress?
• ¿Cómo autenticar a los usuarios de WordPress usando la API?

Lea los casos de uso de los siguientes métodos de autenticación de Rest API:

Autenticación de clave API

Autenticación JWT

Autenticación básica

Autenticación de proveedores externos

WordPress REST API OAuth 2.0 usando la concesión de contraseña:

• En el complemento, vaya a Configurar Autenticación API pestaña y haga clic en Autenticación OAuth 2.0 como método de autenticación API.
• Seleccione Subvención de OAuth 2.0 Escriba como Concesión de contraseña.
• Ahora puede optar por cualquiera de los tipos de token como token de acceso o token JWT.
  El token de acceso es una cadena aleatoria asociada con el usuario para quien se genera, mientras que el token JWT o token de identificación se forma según el estándar JWT, que consiste en los detalles del usuario codificados en él para quien se genera el token. Este token se puede decodificar utilizando su clave y se pueden analizar los detalles del usuario. Por lo tanto, este token se recomienda en aquellos casos en los que los detalles del perfil de WP del usuario deben recuperarse más adelante.

• Ahora haga clic en Guardar configuración para guardar la configuración de autenticación de OAuth 2.0 y habilitar este método de autenticación para proteger los puntos finales de la API REST de WordPress.
• Una vez que haga clic en el Guardar configuración, Obtendrá el ID del cliente, el secreto del cliente y el punto final del token (el punto final al que se debe realizar una llamada API para recibir el token de seguridad).

Ahora la parte de configuración del complemento se ha realizado correctamente. A continuación se incluye la parte en la que se obtendrá y utilizará el token JWT/acceso de seguridad real para acceder a las API REST de WordPress.

• Ahora, necesitarías hacer dos llamadas:

I: Obtener la ficha

• Para obtener el token de acceso/token JWT, deberá realizar una llamada API al punto final del token OAuth 2.0 proporcionado por nuestro complemento que se muestra a continuación.

Request: POST https://<domain-name>/wp-json/api/v1/token
Body:
grant_type =<password>
username =<wordpress username>
password = <wordpress password>
client_id =<client id>

Sample curl Request Format-
curl -d "grant_type=password&username=<wordpress_username>&password=<wordpress_password>&client_id=<client_id>"
-X POST http://<wp_base_url>/wp-json/api/v1/token

• Usando el token de actualización

Request: POST  https://<domain-name>/wp-json/api/v1/token
Body:
grant_type = <refresh_token>
refresh_token =  <Refresh Token>

Sample curl Request Format-
curl -d "grant_type=refresh_token&refresh_token=<refresh_token>&client_id=<client_id>&client_secret=<client_secret>"
-X POST http://<wp_base_url>/wp-json/api/v1/token

II: Enviar solicitud de API REST de WordPress real

• Una vez que obtenga el access_token / id_token (token JWT) utilizando el flujo de concesión de contraseña de OAuth 2.0, puede usarlo para solicitar acceso a los puntos finales de la API REST de WordPress como se muestra a continuación.

Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header: Authorization :Bearer <access_token /id_token>

• NOTA: El token anterior es válido durante 1 hora de forma predeterminada. El mismo token se puede utilizar varias veces para varias solicitudes de API REST antes de su fecha de vencimiento. Una vez que el token caduca, es necesario crear un nuevo token para solicitar el acceso al punto final de la API REST de WordPress.
• Primero eche un vistazo al sitio web de la página Respuesta de error para OAuth 2.0 mediante la concesión de contraseña.

WordPress REST API OAuth 2.0 usando la concesión de credenciales de cliente:

• En el complemento, vaya a Configurar Autenticación API pestaña y haga clic en Autenticación OAuth 2.0 como método de autenticación API.
• Ahora seleccione el Subvención de OAuth 2.0 Escriba como Concesión de credenciales de cliente.

• Una vez que haga clic en guardar configuración, obtendrá el ID de cliente, Secreto del cliente y Punto final del token.
• Aquí necesitarías hacer dos llamadas:

I: Obtener la ficha

• Después de guardar la configuración anterior, obtendrá la ID del cliente, el secreto del cliente y el punto final del token.
• Para obtener el token, debe enviar una solicitud de token como se muestra a continuación

Request: POST https://<domain-name>/wp-json/api/v1/token
Body:
grant_type = <client_credentials>
client_id = <client id>
client_secret = <client secret>

Sample curl Request Format-
curl -d "grant_type=client_credentials&client_id=<client_id>&client_secret=<client_secret>"
-X POST http://<wp_base_url>/wp-json/api/v1/token

• Usando el token de actualización

Request: POST https://<domain-name>/wp-json/api/v1/token
Body:
grant_type = <refresh_token>
refresh_token = <Refresh Token>

Sample curl Request Format-
curl -d "grant_type=refresh_token&refresh_token=<refresh_token>&client_id=<client_id>&client_secret=<client_secret>"
-X POST http://<wp_base_url>/wp-json/api/v1/token

II: Enviar solicitud de API

• Una vez que obtenga las credenciales del cliente access_token / id_token de OAuth 2.0, puede usarlas para solicitar acceso al punto final de la API REST de WordPress como se muestra a continuación.

Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header: Authorization : Bearer <access_token /id_token>

• NOTA: El token anterior es válido durante 1 hora de forma predeterminada. El mismo token se puede utilizar varias veces para varias solicitudes de API REST antes de su fecha de vencimiento. Una vez que el token caduca, es necesario crear un nuevo token para solicitar el acceso al punto final de la API REST de WordPress.
• Primero eche un vistazo al sitio web de la página Respuesta de error para OAuth 2.0 mediante la concesión de credenciales de cliente.
• Primero eche un vistazo al sitio web de la página documentación del desarrollador para más información.

Funciones de seguridad adicionales

1. Actualizar token -


Puede habilitar esta opción si desea recibir una cadena que sea un token de actualización junto con el token de acceso o el token JWT en la solicitud del punto final del token. Permitirá al usuario acceder a los mismos recursos que se le otorgaron anteriormente. Con el nuevo token creado, el usuario no debería obtener acceso más allá de la concesión original. Los tokens de actualización permiten a los servidores de autorización utilizar períodos de tiempo cortos (vida útil) para los tokens de acceso sin necesidad de involucrar al usuario en el vencimiento del token. Con este token, puede regenerar el token de acceso/token JWT, ya que deben caducar en breve para aumentar la seguridad.

2. Revocar token -


Habilitar esta opción le permite revocar el token de acceso/token JWT existente para hacerlo inválido y, por lo tanto, el token en particular no se puede usar para autenticar las API REST de WP. La API RESTful primero valida las credenciales de la aplicación y si el token se emitió a la aplicación que realiza la solicitud de revocación. En caso de que la validación no sea exitosa, la solicitud particular se rechaza y se muestra un error en la aplicación. La API invalida el token y el token no se puede volver a utilizar después de su revocación. Cada solicitud de revocación invalida los tokens que se emitieron para el mismo tipo de concesión de autorización.

Ejemplos de código en lenguajes de programación.

 
    var client = new RestClient("http://<wp_base_url>/wp-json/api/v1/token ");
	client.Timeout = -1;
	var request = new RestRequest(Method.POST);
	request.AlwaysMultipartFormDatatrue;    
    request.AddParameter("grant_type", "client_credentials");
    request.AddParameter("client_id", "<client_id>");     
    request.AddParameter("client_secret", "<client_secret>");
	IRestResponse response = client.Execute(request);
	Console.WriteLine(response.Content);

 
    OkHttpClient client  = new OkHttpClient().newBuilder().build();
    MediaType mediaType = MediaType.parse("text/plain");    
    RequestBody body = new MultipartBody.Builder().setType(MultipartBody.FORM)    
    .addFormDataPart("grant_type", "client_credentials");
    .addFormDataPart("client_id", "<client_id>");     
    .addFormDataPart("client_secret", "<client_secret>");
     .build();
    Request request  = new Request.Builder()  
    .url("http://<wp_base_url>/wp-json/api/v1/token ")
    .method("POST", null)
     .build();
    Response responseclient.newCall(request).execute();
            

 
    var form = new FormData();
    form.append("grant_type", "client_credentials");
    form.append("client_id", "<client_id>");     
    form.append("client_secret", "<client_secret>");

    var settings  = {
        "url": "http://<wp_base_url>/wp-json/api/v1/token ",
        "method": "POST",
        "timeout": 0,
        "processData": false,
        "mimeType": "multipart/form-data",
        "contentType": false,
        "data": form
      };
      
      $.ajax(settings).done(function (response)  {
        console.log(response);
      });
      

 
   <?php
     $curl = curl_init();
    curl_setopt_array($curl, array 
        (  
            CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/api/v1/token',
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_ENCODING => '',
            CURLOPT_MAXREDIRS => 10,
            CURLOPT_TIMEOUT => 0,
            CURLOPT_FOLLOWLOCATION => true,
            CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
            CURLOPT_CUSTOMREQUEST => 'POST',
            CURLOPT_POSTFIELDS => array('grant_type' => 'client_credentials','client_id' => '<client_id>','client_secret' => '<client_secret>'),
  
            ));          
          
    $response = curl_exec($curl);
    curl_close($curl);    
    echo $response;
            

 
    import http.client
    import mimetypes
    from codecs import encode
        
    conn   = http.client.HTTPSConnection("<wp_base_url>")
    dataList= []
    boundary = 'wL36Yn8afVp8Ag7AmP8qZ0SA4n1v9T'
    dataList.append(encode('--' + boundary))
    dataList.append(encode('Content-Disposition: form-data; name=grant_type;'))    
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))    
    dataList.append(encode(''))    
    
    dataList.append(encode("client_credentials"))
    dataList.append(encode('--' + boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=client_id;'))    
    
    dataList.append('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))    
    
    dataList.append(encode("<client_id>"))    
    dataList.append(encode('--'+ boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=client_secret;'))
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))
    
    
    dataList.append(encode("<client_secret<"))    
    dataList.append(encode('--'+boundary+'--'))
    dataList.append(encode(''))
    body  = b'\r\n'.join(dataList)    
    payload= body
    headers = {
        'Content-type': 'multipart/form-data; boundary={}'.format(boundary) 
    }
    conn.request("POST", "/wp-json/api/v1/token ", payload, headers)
    res= conn.getresponse()    
    data = res.read()    
    print (data.decode("utf-8"))   
 

 
    var client = new RestClient("http://<wp_base_url>/wp-json/api/v1/token ");
    client.Timeout = -1;
    var request = new RestRequest(Method.POST);
    request.AlwaysMultipartFormData true;    
    request.AddParameter("grant_type", "password");
    request.AddParameter("username", "<wordpress_username>");     
    request.AddParameter("password", "<wordpress_password>");    
    request.AddParameter("client_id", "<client_id>");
    IRestResponse response = client.Execute(request);
    Console.WriteLine(response.Content);
    

 
    OkHttpClient client  = new OkHttpClient().newBuilder().build();
    MediaType mediaType = MediaType.parse("text/plain");    
    RequestBody body = new MultipartBody.Builder().setType(MultipartBody.FORM)    
    .addFormDataPart("grant_type", "password");
    .addFormDataPart("username", "<wordpress_username>");     
    .addFormDataPart("password", "<wordpress_password>");    
    .addFormDataPart("client_id", "<client_id>");
     .build();
    Request request  = new Request.Builder()  
    .url("http://<wp_base_url>/wp-json/api/v1/token ")
    .method("POST", null)
     .build();
    Response responseclient.newCall(request).execute();
          

 
    var form = new FormData();
    form.append("grant_type", "password");
    form.append("username", "<wordpress_username>");     
    form.append("password", "<wordpress_password>");    
    form.append("client_id", "<client_id>");
   
    var settings  = {
        "url": "http://<wp_base_url>/wp-json/api/v1/token ",
        "method": "POST",
        "timeout": 0,
        "processData": false,
        "mimeType": "multipart/form-data",
        "contentType": false,
        "data": form
        };
        
        $.ajax(settings).done(function (response)  {
        console.log(response);
        });
        

 
    <?php
     $curl = curl_init();
    curl_setopt_array($curl, array 
        ( CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/api/v1/token%20',
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_ENCODING => '',
            CURLOPT_MAXREDIRS => 10,
            CURLOPT_TIMEOUT => 0,
            CURLOPT_FOLLOWLOCATION => true,
            CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
            CURLOPT_CUSTOMREQUEST => 'POST',
            CURLOPT_POSTFIELDS => array('username' => '<wordpress_username>','password' => '<wordpress_password>'),
            ));
            
    $response = curl_exec($curl);
    curl_close($curl);    
    echo $response;
          

 
    import http.client
    import mimetypes
    from codecs import encode
        
    conn   = http.client.HTTPSConnection("<wp_base_url>")
    dataList= []
    boundary = 'wL36Yn8afVp8Ag7AmP8qZ0SA4n1v9T'
    dataList.append(encode('--' + boundary))
    dataList.append(encode('Content-Disposition: form-data; name=grant_type;'))    
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))    
    dataList.append(encode(''))    
    
    dataList.append(encode("password"))
    dataList.append(encode('--' + boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=username;')    
    
    dataList.append('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))    
    
    dataList.append(encode("<wordpress_username>"))    
    dataList.append(encode('--'+ boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=password;'))
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))
    
    dataList.append(encode("<wordpress_password<"))    
    dataList.append(encode('--'+boundary))
    dataList.append(encode('Content-Disposition: form-data; name=client_id;'))    

    dataList.append(encode('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))
    
    dataList.append(encode("<client_id>"))    
    dataList.append(encode('--'+boundary+'--'))    
    dataList.append(encode(''))    
    
    body  = b'\r\n'.join(dataList)    
    payload= body
    headers = {
        'Content-type': 'multipart/form-data; boundary={}'.format(boundary) 
    }
    conn.request("POST", "/wp-json/api/v1/token ", payload, headers)
    res= conn.getresponse()    
    data = res.read()    
    print (data.decode("utf-8"))   
    

 
    var client = new RestClient("http://<wp_base_url>/wp-json/api/v1/token ");
	client.Timeout = -1;
	var request = new RestRequest(Method.POST);
	request.AlwaysMultipartFormDatatrue;    
    request.AddParameter("grant_type", "refresh_token");
    request.AddParameter("client_id", "<client_id>");     
    request.AddParameter("client_secret", "<client_secret>");
    request.AddParameter("refresh_token", "<refresh_token>");
	IRestResponse response = client.Execute(request);
	Console.WriteLine(response.Content);

 
    OkHttpClient client  = new OkHttpClient().newBuilder().build();
    MediaType mediaType = MediaType.parse("text/plain");    
    RequestBody body = new MultipartBody.Builder().setType(MultipartBody.FORM)    
    .addFormDataPart("grant_type", "refresh_token");
    .addFormDataPart("client_id", "<client_id>");     
    .addFormDataPart("client_secret", "<client_secret>");
    .addFormDataPart("refresh_token", "<refresh_token>");
     .build();
    Request request  = new Request.Builder()  
    .url("http://<wp_base_url>/wp-json/api/v1/token ")
    .method("POST", null)
     .build();
    Response responseclient.newCall(request).execute();
            

 
    var form = new FormData();
    form.append("grant_type", "refresh_token");
    form.append("client_id", "<client_id>");     
    form.append("client_secret", "<client_secret>");
    form.append("refresh_token", "<refresh_token>");
    
    var settings  = {
        "url": "http://<wp_base_url>/wp-json/api/v1/token ",
        "method": "POST",
        "timeout": 0,
        "processData": false,
        "mimeType": "multipart/form-data",
        "contentType": false,
        "data": form
      };
      
      $.ajax(settings).done(function (response)  {
        console.log(response);
      });
      

 
   <?php
     $curl = curl_init();
    curl_setopt_array($curl, array 
        (  
            CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/api/v1/token',
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_ENCODING => '',
            CURLOPT_MAXREDIRS => 10,
            CURLOPT_TIMEOUT => 0,
            CURLOPT_FOLLOWLOCATION => true,
            CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
            CURLOPT_CUSTOMREQUEST => 'POST',
            CURLOPT_POSTFIELDS => array('grant_type' => 'refresh_token','client_id' => '<client_id>','client_secret' => '<client_secret>','refresh_token' => '<refresh_token>'),

            ));          
          
    $response = curl_exec($curl);
    curl_close($curl);    
    echo $response;
            

 
    import http.client
    import mimetypes
    from codecs import encode
        
    conn   = http.client.HTTPSConnection("<wp_base_url>")
    dataList= []
    boundary = 'wL36Yn8afVp8Ag7AmP8qZ0SA4n1v9T'
    dataList.append(encode('--' + boundary))
    dataList.append(encode('Content-Disposition: form-data; name=grant_type;'))    
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))    
    dataList.append(encode(''))    
    
    dataList.append(encode("refresh_token"))
    dataList.append(encode('--' + boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=client_id;'))    
    
    dataList.append('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))    
    
    dataList.append(encode("<client_id>"))    
    dataList.append(encode('--'+ boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=client_secret;'))
    
    dataList.append(encode('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))
    
    dataList.append(encode("<client_id>"))    
    dataList.append(encode('--'+ boundary))    
    dataList.append(encode('Content-Disposition: form-data; name=refresh_token;'))    

    dataList.append(encode('Content-Type: {}'.format('text/plain')))
    dataList.append(encode(''))

    dataList.append(encode("<refresh_token<")) 
    dataList.append(encode('--'+boundary+'--'))
    dataList.append(encode(''))

    body  = b'\r\n'.join(dataList)    
    payload= body
    headers = {
        'Content-type': 'multipart/form-data; boundary={}'.format(boundary)  
    }
    conn.request("POST", "/wp-json/api/v1/token ", payload, headers)
    res= conn.getresponse()    
    data = res.read()    
    print (data.decode("utf-8"))   
 

 
    var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts");
    client.Timeout = -1;
    var request = new RestRequest(Method.GET);
    request.AddHeader = ("Authorization", "Bearer < access_token / id_token >") 
     IRestResponse response = client.Execute(request);
    Console.WriteLine(response.Content);
    

 
    OkHttpClient client  = new OkHttpClient().newBuilder().build();
    MediaType mediaType = MediaType.parse("text/plain");    
    RequestBody body =  RequestBody.create(mediaType, ""); 
    Request request  = new Request.Builder()  
    .url("http://<wp_base_url>//wp-json/wp/v2/posts ")
    .method("GET", body)
    .addHeader = ("Authorization", "Bearer < access_token / id_token >") 
     .build();
    Response responseclient.newCall(request).execute();
          

 
    var settings  = {
        "url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
        "method": "GET",
        "timeout": 0,
        "headers": {
          "Authorization": "Bearer < access_token / id_token >"
        },
      };      
        
        $.ajax(settings).done(function (response)  {
        console.log(response);
        });
        

 
    <?php
     $curl = curl_init();
    curl_setopt_array($curl, array 
        ( 
            curl_setopt_array($curl, array(
            CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts%20',
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_ENCODING => '',
            CURLOPT_MAXREDIRS => 10,
            CURLOPT_TIMEOUT => 0,
            CURLOPT_FOLLOWLOCATION => true,
            CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
            CURLOPT_CUSTOMREQUEST => 'GET',
            CURLOPT_HTTPHEADER => array(
                'Authorization: Bearer < access_token / id_token >'
);
));
  
    $response = curl_exec($curl);
    curl_close($curl);    
    echo $response;
          

 
     import http.client
   
        
    conn   = http.client.HTTPSConnection("<wp_base_url>")
    payload = "
    headers =  {
        'Authorization': 'Bearer < access_token / id_token >'
      }
    
    conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)    
    res= conn.getresponse()    
    data = res.read()    
    print (data.decode("utf-8"))   
    

Muestras de cartero:

a) Método de concesión de contraseña de OAuth 2.0:

• Solicitud de muestra para obtener token:
• Puede descargar el ejemplo de solicitud de cartero desde esta página.
• Ahora extrae el archivo zip e importe el archivo json extraído a la aplicación cartero.

• Ejemplo

• Formato de solicitud de muestra para solicitar recursos utilizando el token obtenido en el último paso.
• Puede descargar el ejemplo de solicitud de cartero desde esta página.
• Ahora extraiga el archivo zip e importe el archivo json extraído a la aplicación cartero.

• Ejemplo

b) Método de concesión de credenciales de cliente de OAuth 2.0:

• Solicitud de muestra para obtener token:
• Puede descargar el ejemplo de solicitud de cartero desde esta página.
• Ahora extraiga el archivo zip e importe el archivo json extraído a la aplicación cartero.

• Ejemplo

c) Solicitud de API REST para obtener el recurso real:

• Puede descargar el ejemplo de solicitud de cartero desde esta página.
• Ahora extraiga el archivo zip e importe el archivo json extraído a la aplicación cartero.

• Ejemplo

Descripción de la característica

1. Restricción de la API REST basada en roles:

Esta característica permite restringir el acceso a la API REST según los roles de usuario. Puede incluir en la lista blanca los roles para los que desea permitir el acceso al recurso solicitado para las API REST. Entonces, cada vez que un usuario realiza una solicitud de API REST, se recuperará su función y solo se le permitirá acceder al recurso si su función está en la lista blanca.

¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Luego, en la sección Restricción basada en roles, todos los roles de forma predeterminada podrán acceder a las API. Puede habilitar la casilla de verificación de los roles para los que desea restringir el acceso.

• En la captura de pantalla anterior, la casilla de verificación de función de suscriptor está habilitada. Entonces, cada vez que un usuario realiza una solicitud de API con su rol de suscriptor, ese usuario no podrá acceder al recurso solicitado.

Nota: La función de restricción basada en roles es válida para autenticación básica (nombre de usuario: contraseña), método JWT y OAuth 2.0 (concesión de contraseña).

2. Encabezado personalizado

Esta característica proporciona una opción para elegir un encabezado personalizado en lugar del encabezado predeterminado "Autorización".

Aumentará la seguridad ya que el encabezado tiene el nombre de su "nombre personalizado", por lo que si alguien realiza la solicitud de API REST con un encabezado como "Autorización", no podrá acceder a las API.

¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Luego, en la sección "Encabezado personalizado", puede editar el cuadro de texto para ingresar el nombre personalizado que desee.


3. Excluir las API REST

Esta característica le permite incluir sus API REST en la lista blanca para que se pueda acceder a ellas directamente sin ninguna autenticación. Por lo tanto, todas estas API REST incluidas en la lista blanca están disponibles públicamente.

¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Luego, en 'Excluir API REST', puede ingresar sus API en el formato prescrito que debe incluirse en la lista blanca para el acceso público.

• Ejemplo: supongamos que desea excluir la API REST ' ' /wp-json/wp/v2/posts' luego debe ingresar '/wp/v2/posts' en el cuadro de texto.

4. Caducidad del token personalizado

Esta característica es aplicable a los métodos JWT y OAuth 2.0 que utilizan tokens basados ​​en el tiempo para autenticar los puntos finales de la API REST de WordPress. Esta función le permite establecer el vencimiento personalizado para los tokens, de modo que el token ya no será válido una vez que caduque.

¿Cómo configurarlo?

• Primero, vaya a la pestaña 'Configuración avanzada' del complemento.
• Luego, en la sección "Configuración de caducidad del token", se pueden modificar la validez del token de acceso y el token de actualización (utilizado para el método OAuth 2.0). De forma predeterminada, el tiempo de vencimiento del token de acceso se establece en 60 minutos y el tiempo de vencimiento del token de actualización se establece en 14 días. Por lo tanto, con esta característica, el vencimiento se puede ajustar en consecuencia según los requisitos.