WordPress REST API 認証プラグインは、WordPress REST API への不正アクセスからのセキュリティを提供します。
の検索結果 :
×WordPress REST API キー認証には以下が含まれます APIキー(ベアラートークン)の検証 WP REST API へのアクセスを取得します。 WP REST API エンドポイントにアクセスするリクエストが開始されるたびに、キー (ベアラー トークン) を使用した認証が必要です。 リクエストされた WordPress REST API エンドポイントのリソースへのアクセスは、API キー (ベアラー トークン) の検証に基づいて付与されます。
記録のために言っておきますが、API キーは、次のように設計された認証プロトコルです。 開発者が認証キーを生成できるようにする これは、サーバー側プロセス、携帯電話アプリケーション、デスクトップ コンピューターなどのリソースに使用できます。
WordPress API キー認証方法は、WordPress REST API のセキュリティを確保するための重要な手段です。 API キーが侵害された場合は再生成することができ、以前に生成されたキーはすべて自動的に期限切れになります。 新しく作成されたキーは、WP API キー認証に使用されます。 REST API を保護しないと、権限のない個人がシステムにアクセスできるようになり、データ侵害につながる可能性があるため、重大なセキュリティ リスクが生じる可能性があります。
このガイドでは、詳細なステップバイステップのプロセスを説明します。 WordPress REST API 認証のインストールと構成 REST API のセキュリティを強化します。
WordPress REST API 認証プラグインは、WordPress REST API への不正アクセスからのセキュリティを提供します。
1. API キー認証は、WordPress の投稿、ページ、その他の REST API などの WordPress REST API エンドポイントの保護手段として機能し、不正アクセスから保護し、ユーザーの WP ログイン認証情報やクライアント ID とクライアントを共有する必要性をなくします。認証用のシークレット。 この WordPress API キー ジェネレーターのアプローチでは、Web サイト上のさまざまな WordPress REST API を認証するために利用できる固有の認証キーが作成されます。
WordPress REST API キー認証の利用は、API キー認証を使用して WP REST API を強化するための最も簡単で最も広く採用されているアプローチの XNUMX つです。 このアプローチにより、WordPress Web サイト上の REST API のセキュリティが強化されます。
2. Android および iOS 用のブログ アプリケーションを開発し、すべてのブログを WordPress で公開したと想像してください。 ただし、一般公開されないようにしながら、WordPress REST API から投稿/ブログを取得したいと考えています。 このような場合は、WordPress REST API キー認証を実装して GET リクエストを保護し、エンドポイントのセキュリティを確保することをお勧めします。
このプラグインは、WordPress REST API の認証に使用できる XNUMX 種類の API キー/セキュリティ トークンを提供します。
I. ユニバーサル API キー - ユニバーサル API キーは、HTTP GET メソッドを必要とし、WordPress ユーザー機能を必要としない WP REST API の認証に最適です。
※ このキーにはユーザーの機能は含まれないため、WordPress がユーザーの権限を必要とする API にアクセスするために使用することはできません。 "例 - 一般的な WordPress 投稿、コメントなどを取得するために GET API を使用したいだけの場合。」
II. ユーザー固有の API キー - ユーザーベースの API は、GET、POST、PUT、DELETE などの HTTP メソッドを含む WP REST API の認証に最も適しており、特にユーザー機能が関与する操作を実行する場合に最適です。
例- ユーザー機能 (WP ロール) やユーザーデータに基づいて WordPress 投稿を取得するなどの操作を実行したい場合、または新しいユーザーや新しい投稿などを作成したい場合。
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
I. Authorization :
HTTP 承認 リクエスト ヘッダーには通常、ユーザー エージェントの資格情報、またはトークン タイプとトークン値が含まれており、ユーザー エージェントをサーバーで認証する手段として機能します。 これは通常、認証試行が失敗した後に発生し、サーバーは次のステータスで応答します。 401未承認.
II. Bearer <token-value>:
ベアラー 認証サーバーによって作成されます。 クライアント アプリケーションが認証サーバーを要求すると、サーバーはそのトークンを認証し、それに応じてクライアント アプリケーションに応答を返します。
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>")
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer <token-value >"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Postman を使用して REST API リクエストを作成するには、次の手順に従います。
1. ロールベースの REST API の制限:
この機能により、ユーザーのロールに応じて REST API へのアクセスを制限できます。 REST API を介して、要求されたリソースへのアクセスをどのロールに許可するかを指定するオプションがあります。 したがって、ユーザーが REST API リクエストを開始すると、そのロールが取得され、そのロールがホワイトリストに含まれている場合にのみリソースへのアクセスが許可されます。
それを構成する方法は?
注: ロールベースの制限機能は、基本認証 (ユーザー名: パスワード)、JWT 方式、OAuth 2.0 (パスワード付与)、および API キー認証 (ユーザー固有の API キー) に対して有効です。
2. カスタムヘッダー
この機能では、デフォルトの「Authorization」ヘッダーではなくカスタム ヘッダーを選択するオプションが提供されます。 これにより、カスタム名前のヘッダーが導入され、セキュリティが強化されます。 個人が「Authorization」ヘッダーを含む REST API リクエストを送信しようとすると、API にアクセスできなくなります。
それを構成する方法は?
3. REST APIを除外する
この機能を使用すると、REST API のホワイトリストを作成し、認証を必要とせずに REST API に直接アクセスできるようになります。 その結果、このホワイトリストに含まれるすべての REST API がパブリックにアクセスできるようになります。
それを構成する方法は?
4. ユーザー固有の API キー/トークンを作成する
この機能の使用方法:
おめでとう! このガイドを使用して、WordPress REST API キー認証を正常に設定しました。 これで、WordPress REST API エンドポイントは安全になり、データは不正アクセスから保護されます。
メールでお問い合わせください apisupport@xecurify.com お客様の要件に関する迅速なガイダンス (電子メール/会議) が必要な場合は、当社のチームがお客様の要件に応じて最適なソリューション/プランの選択をお手伝いします。
助けが必要? 私たちはここにいます!
このプライバシーに関する声明は、個人情報の取り扱い方法を説明する miniorange の Web サイトに適用されます。 Web サイトにアクセスすると、ブラウザ上の情報が主に Cookie の形式で保存または取得されることがあります。 この情報はあなた、あなたの設定、またはデバイスに関するものであり、主にサイトを期待どおりに動作させるために使用されます。 この情報はお客様を直接特定するものではありませんが、よりパーソナライズされた Web エクスペリエンスを提供することができます。 カテゴリの見出しをクリックして、Cookie の処理方法を確認してください。 当社のソリューションのプライバシーに関する声明については、以下を参照してください。 プライバシーポリシーをご覧ください。.
必要な Cookie は、サイト ナビゲーション、ログイン、フォームへの入力などの基本機能を有効にすることで、Web サイトを十分に利用できるようにするのに役立ちます。この機能に使用される Cookie には個人を特定できる情報は保存されません。 ただし、Web サイトの一部の部分は Cookie がないと正しく動作しません。
これらの Cookie は、訪問者、ソース、ページのクリックとビューなどを含む、Web サイトのトラフィックに関する集約情報のみを収集します。これにより、当社は、最も人気のあるページと最も人気のないページ、およびアクション可能な要素でのユーザーのインタラクションについてさらに詳しく知ることができるため、当社は、当社のウェブサイトおよび当社のサービスのパフォーマンスを向上させます。