Le plugin d’authentification WordPress REST API fournit la sécurité contre tout accès non autorisé à vos API WordPress REST.
Résultats de recherche :
×L'authentification par clé API REST WordPress implique vérification de la clé API (jeton Bearer) pour accéder aux API WP REST. Chaque fois qu'une requête est lancée pour accéder aux points de terminaison de l'API WP REST, une authentification est nécessaire à l'aide de la clé (jeton Bearer). L'accès aux ressources pour le point de terminaison de l'API REST WordPress demandé est accordé en fonction de la validation de la clé API (jeton Bearer).
Pour mémoire, la clé API est un protocole d'authentification conçu pour permettre aux développeurs de générer des clés d'authentification qui pourrait être utilisé pour des ressources telles que des processus côté serveur, des applications de téléphonie mobile et des ordinateurs de bureau.
La méthode d’authentification par clé API WordPress est un moyen essentiel pour assurer la sécurité de votre API WordPress REST. Si la clé API est compromise, elle peut être régénérée, ce qui entraîne l'expiration automatique de toutes les clés générées précédemment. La clé nouvellement créée sera ensuite utilisée pour l'authentification par clé API WP. Ne pas sécuriser votre API REST peut présenter des risques de sécurité importants, car cela peut permettre à des personnes non autorisées d'accéder à votre système, entraînant potentiellement des violations de données.
Ce guide vous guidera à travers un processus détaillé, étape par étape, pour installation et configuration de l'authentification API REST WordPress pour améliorer la sécurité de votre API REST.
Le plugin d’authentification WordPress REST API fournit la sécurité contre tout accès non autorisé à vos API WordPress REST.
1. L'authentification par clé API peut servir de protection pour vos points de terminaison d'API REST WordPress, tels que les publications, les pages ou toute autre API REST de WordPress, les protégeant contre tout accès non autorisé et éliminant le besoin de partager les informations de connexion WP ou l'ID client d'un utilisateur. secret pour l'authentification. Cette approche du générateur de clé API WordPress crée une clé d'authentification unique, que vous pouvez utiliser pour authentifier diverses API WordPress REST sur votre site Web.
L’utilisation de l’authentification par clé API REST de WordPress représente l’une des approches les plus simples et les plus largement adoptées pour renforcer votre API WP REST avec l’authentification par clé API. Cette approche améliore la sécurité des API REST sur votre site WordPress.
2. Imaginez que vous ayez développé une application de blog pour Android et iOS et que vous ayez publié tous vos blogs sur WordPress. Cependant, vous souhaitez récupérer les articles/blogs des API REST WordPress tout en les gardant inaccessibles au public. Dans de tels cas, il est conseillé d'implémenter l'authentification par clé API REST WordPress pour protéger vos requêtes GET, garantissant ainsi la sécurité de vos points de terminaison.
Le plugin fournit deux types de clés API/jetons de sécurité qui peuvent être utilisés pour authentifier les API REST WordPress :
I. Clé API universelle - La clé API universelle sera la plus adaptée pour authentifier les API WP REST, qui impliquent la méthode HTTP GET et ne nécessitent pas de capacités utilisateur WordPress.
Veuillez noter : Cette clé n'implique pas les capacités de l'utilisateur et ne peut pas être utilisée pour accéder aux API pour lesquelles WordPress attend des autorisations d'utilisateur. "Exemple - Si vous souhaitez simplement utiliser les API GET pour récupérer des publications, des commentaires, etc. WordPress généraux.
II. Clé API spécifique à l'utilisateur - L'API basée sur l'utilisateur sera la plus appropriée pour authentifier les API WP REST qui impliquent l'une des méthodes HTTP telles que - GET, POST, PUT, DELETE, en particulier dans les cas où vous souhaitez effectuer des opérations qui impliquent les capacités de l'utilisateur.
Exemple - Si vous souhaitez effectuer des opérations telles que récupérer des publications WordPress en fonction des capacités des utilisateurs (leurs rôles WP), des données utilisateur, ou si vous souhaitez créer de nouveaux utilisateurs, de nouvelles publications, etc.
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
-H 'app-name:TheAppName'
I. Authorization :
Le HTTP Autorisation l'en-tête de la demande comprend généralement les informations d'identification de l'agent utilisateur ou le type et la valeur du jeton, servant de moyen d'authentifier l'agent utilisateur auprès d'un serveur. Cela se produit généralement suite à une tentative d'authentification infructueuse, où le serveur répond avec un statut de 401 Non autorisé.
II. Bearer <token-value>:
Les
Porteur est créé par le serveur d'authentification. Lorsqu'une application client demande au serveur d'authentification, le serveur authentifie ce jeton et donne une réponse à l'application client en conséquence.
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
request.AddHeader = ("app-name", "TheAppName");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>");
.addHeader = ("app-name", "TheAppName");
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer < access_token / id_token >",
"app-name": "TheAppName"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
'app-name: TheAppName'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
'app-name': 'TheAppName',
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Suivez les étapes ci-dessous pour effectuer une requête API REST à l'aide de Postman :
1. Restrictions de l'API REST basées sur les rôles :
Cette fonctionnalité permet de restreindre l'accès à l'API REST en fonction des rôles des utilisateurs. Vous avez la possibilité de spécifier quels rôles doivent être autorisés à accéder à la ressource demandée via les API REST. Par conséquent, lorsqu'un utilisateur lance une requête API REST, son rôle est récupéré et l'accès à la ressource n'est accordé que si son rôle est inclus dans la liste blanche.
Comment le configurer ?
Remarque: La fonctionnalité de restriction basée sur les rôles est valide pour l'authentification de base (nom d'utilisateur : mot de passe), la méthode JWT, OAuth 2.0 (octroi de mot de passe) et l'authentification par clé API (clé API spécifique à l'utilisateur).
2. En-tête personnalisé
Cette fonctionnalité offre la possibilité de choisir un en-tête personnalisé plutôt que l'en-tête « Autorisation » par défaut. Cela améliorera la sécurité en introduisant un en-tête nommé personnalisé. Si une personne tente d'envoyer une requête API REST avec un en-tête « Autorisation », elle ne pourra pas accéder aux API.
Comment le configurer ?
3. Exclure les API REST
Cette fonctionnalité vous permet de créer une liste blanche pour vos API REST, permettant d'y accéder directement sans avoir besoin d'authentification. Par conséquent, toutes les API REST incluses dans cette liste blanche deviennent accessibles au public.
Comment le configurer ?
4. Créer des clés/jetons API spécifiques à l'utilisateur
Comment utiliser cette fonctionnalité :
Toutes nos félicitations! Vous avez configuré avec succès l’authentification par clé de l’API REST WordPress à l’aide de ce guide. Désormais, vos points de terminaison de l’API WordPress REST sont sécurisés et vos données sont protégées contre tout accès non autorisé.
Envoyez-nous un e-mail apisupport@xecurify.com pour des conseils rapides (par e-mail/réunion) sur vos besoins et notre équipe vous aidera à sélectionner la solution/le plan le mieux adapté à vos besoins.
Besoin d'aide? Nous sommes ici !
Merci pour votre demande.
Si vous n'avez pas de nouvelles de nous dans les 24 heures, n'hésitez pas à envoyer un e-mail de suivi à info@xecurify.com
Cette déclaration de confidentialité s'applique aux sites Web miniorange décrivant la manière dont nous traitons les informations personnelles. Lorsque vous visitez un site Web, celui-ci peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Ces informations peuvent concerner vous, vos préférences ou votre appareil et sont principalement utilisées pour que le site fonctionne comme vous le souhaitez. Les informations ne vous identifient pas directement, mais elles peuvent vous offrir une expérience Web plus personnalisée. Cliquez sur les titres des catégories pour vérifier comment nous traitons les cookies. Pour la déclaration de confidentialité de nos solutions, vous pouvez vous référer au Politique de confidentialité.
Les cookies nécessaires contribuent à rendre un site Web pleinement utilisable en activant les fonctions de base telles que la navigation sur le site, la connexion, le remplissage de formulaires, etc. Les cookies utilisés pour la fonctionnalité ne stockent aucune information personnelle identifiable. Cependant, certaines parties du site Web ne fonctionneront pas correctement sans les cookies.
Ces cookies collectent uniquement des informations agrégées sur le trafic du site Web, notamment les visiteurs, les sources, les clics et les vues des pages, etc. Cela nous permet d'en savoir plus sur nos pages les plus et les moins populaires ainsi que sur l'interaction des utilisateurs sur les éléments exploitables et ainsi de permettre nous améliorons les performances de notre site Web ainsi que de nos services.