WordPress Rest API 認証
投稿者:miniOrange
WordPress REST API 認証プラグインは、WordPress REST API への不正アクセスからのセキュリティを提供します。
の検索結果 :
×WordPress REST API キー認証には以下が含まれます APIキー(ベアラートークン)の検証 WP REST API へのアクセスを取得します。 WP REST API エンドポイントにアクセスするリクエストが開始されるたびに、キー (ベアラー トークン) を使用した認証が必要です。 リクエストされた WordPress REST API エンドポイントのリソースへのアクセスは、API キー (ベアラー トークン) の検証に基づいて付与されます。
記録のために言っておきますが、API キーは、次のように設計された認証プロトコルです。 開発者が認証キーを生成できるようにする これは、サーバー側プロセス、携帯電話アプリケーション、デスクトップ コンピューターなどのリソースに使用できます。
WordPress API キー認証方法は、WordPress REST API のセキュリティを確保するための重要な手段です。 API キーが侵害された場合は再生成することができ、以前に生成されたキーはすべて自動的に期限切れになります。 新しく作成されたキーは、WP API キー認証に使用されます。 REST API を保護しないと、権限のない個人がシステムにアクセスできるようになり、データ侵害につながる可能性があるため、重大なセキュリティ リスクが生じる可能性があります。
このガイドでは、詳細なステップバイステップのプロセスを説明します。 WordPress REST API 認証のインストールと構成 REST API のセキュリティを強化します。
WordPress REST API 認証プラグインは、WordPress REST API への不正アクセスからのセキュリティを提供します。
使用事例: ベアラーキー/トークンを介したWordPress REST APIエンドポイントアクセスの保護/安全化 
1. API キー認証は、WordPress の投稿、ページ、その他の REST API などの WordPress REST API エンドポイントの保護手段として機能し、不正アクセスから保護し、ユーザーの WP ログイン認証情報やクライアント ID とクライアントを共有する必要性をなくします。認証用のシークレット。 この WordPress API キー ジェネレーターのアプローチでは、Web サイト上のさまざまな WordPress REST API を認証するために利用できる固有の認証キーが作成されます。
WordPress REST API キー認証の利用は、API キー認証を使用して WP REST API を強化するための最も簡単で最も広く採用されているアプローチの XNUMX つです。 このアプローチにより、WordPress Web サイト上の REST API のセキュリティが強化されます。
2. Android および iOS 用のブログ アプリケーションを開発し、すべてのブログを WordPress で公開したと想像してください。 ただし、一般公開されないようにしながら、WordPress REST API から投稿/ブログを取得したいと考えています。 このような場合は、WordPress REST API キー認証を実装して GET リクエストを保護し、エンドポイントのセキュリティを確保することをお勧めします。
このプラグインは、WordPress REST API の認証に使用できる XNUMX 種類の API キー/セキュリティ トークンを提供します。
I. ユニバーサル API キー - ユニバーサル API キーは、HTTP GET メソッドを必要とし、WordPress ユーザー機能を必要としない WP REST API の認証に最適です。
※ このキーにはユーザーの機能は含まれないため、WordPress がユーザーの権限を必要とする API にアクセスするために使用することはできません。 "例 - 一般的な WordPress 投稿、コメントなどを取得するために GET API を使用したいだけの場合。」
II. ユーザー固有の API キー - ユーザーベースの API は、GET、POST、PUT、DELETE などの HTTP メソッドを含む WP REST API の認証に最も適しており、特にユーザー機能が関与する操作を実行する場合に最適です。
例- ユーザー機能 (WP ロール) やユーザーデータに基づいて WordPress 投稿を取得するなどの操作を実行したい場合、または新しいユーザーや新しい投稿などを作成したい場合。
次の Rest API 認証方法のユースケースを参照してください。
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
I. Authorization : HTTP 承認 リクエスト ヘッダーには通常、ユーザー エージェントの資格情報、またはトークン タイプとトークン値が含まれており、ユーザー エージェントをサーバーで認証する手段として機能します。 これは通常、認証試行が失敗した後に発生し、サーバーは次のステータスで応答します。 401未承認.
II. Bearer <token-value>: ベアラー 認証サーバーによって作成されます。 クライアント アプリケーションが認証サーバーを要求すると、サーバーはそのトークンを認証し、それに応じてクライアント アプリケーションに応答を返します。
プログラミング言語のコードサンプル
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>")
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer <token-value >"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Postman を使用して REST API リクエストを作成するには、次の手順に従います。
機能説明1. ロールベースの REST API の制限:
この機能により、ユーザーのロールに応じて REST API へのアクセスを制限できます。 REST API を介して、要求されたリソースへのアクセスをどのロールに許可するかを指定するオプションがあります。 したがって、ユーザーが REST API リクエストを開始すると、そのロールが取得され、そのロールがホワイトリストに含まれている場合にのみリソースへのアクセスが許可されます。
それを構成する方法は?
注: ロールベースの制限機能は、基本認証 (ユーザー名: パスワード)、JWT 方式、OAuth 2.0 (パスワード付与)、および API キー認証 (ユーザー固有の API キー) に対して有効です。
2. カスタムヘッダー
この機能では、デフォルトの「Authorization」ヘッダーではなくカスタム ヘッダーを選択するオプションが提供されます。 これにより、カスタム名前のヘッダーが導入され、セキュリティが強化されます。 個人が「Authorization」ヘッダーを含む REST API リクエストを送信しようとすると、API にアクセスできなくなります。
それを構成する方法は?
3. REST APIを除外する
この機能を使用すると、REST API のホワイトリストを作成し、認証を必要とせずに REST API に直接アクセスできるようになります。 その結果、このホワイトリストに含まれるすべての REST API がパブリックにアクセスできるようになります。
それを構成する方法は?
4. ユーザー固有の API キー/トークンを作成する
この機能の使用方法:
おめでとう! このガイドを使用して、WordPress REST API キー認証を正常に設定しました。 これで、WordPress REST API エンドポイントは安全になり、データは不正アクセスから保護されます。
その他のリソースメールでお問い合わせください apisupport@xecurify.com お客様の要件に関する迅速なガイダンス (電子メール/会議) が必要な場合は、当社のチームがお客様の要件に応じて最適なソリューション/プランの選択をお手伝いします。
助けが必要? 私たちはここにいます!
