WordPress REST API 키 인증 방법 | 보안 REST API
회사 개요
WordPress REST API 키 인증에는 다음이 포함됩니다. API 키 확인(Bearer 토큰) WP REST API에 액세스하려면. WP REST API 엔드포인트에 액세스하기 위한 요청이 시작될 때마다 키(Bearer 토큰)를 사용하여 인증이 필요합니다. 요청된 WordPress REST API 엔드포인트에 대한 리소스에 대한 액세스는 API 키(Bearer 토큰)의 검증을 기반으로 부여됩니다.
참고로 API 키는 다음을 위해 설계된 인증 프로토콜입니다. 개발자가 인증 키를 생성하도록 허용 이는 서버 측 프로세스, 모바일 애플리케이션, 데스크톱 컴퓨터 등의 리소스에 사용될 수 있습니다.
WordPress API 키 인증 방법은 WordPress REST API의 보안을 보장하는 중요한 수단입니다. API 키가 손상되면 재생성되어 이전에 생성된 모든 키가 자동으로 만료됩니다. 새로 생성된 키는 WP API 키 인증에 사용됩니다. REST API를 보호하지 못하면 허가받지 않은 개인이 시스템에 액세스할 수 있으므로 상당한 보안 위험이 발생할 수 있으며, 잠재적으로 데이터 침해로 이어질 수 있습니다.
이 가이드는 자세한 단계별 프로세스를 안내합니다. WordPress REST API 인증 설치 및 구성 REST API의 보안을 강화합니다.
WordPress REST API 인증
WordPress REST API 인증 플러그인은 WordPress REST API에 대한 무단 액세스로부터 보안을 제공합니다. 당사 플러그인은 기본 인증, API 키 인증, OAuth 2.0 인증, JWT 인증과 같은 여러 인증 방법을 제공합니다.
현장 사진전제조건 : 다운로드 및 설치
- WordPress 인스턴스에 관리자로 로그인합니다.
- 워드프레스로 이동 대시보드 -> 플러그인 그리고 클릭 새로운 추가.
- WordPress 검색 REST API 인증 플러그인을 클릭하고 지금 설치.
- 설치가 완료되면 클릭하세요. 활성화.
사례: Bearer Key/Token을 통한 WordPress REST API 엔드포인트 액세스 보호/보안
1. API 키 인증은 WordPress REST API 엔드포인트(예: 게시물, 페이지 또는 WordPress의 다른 REST API)에 대한 보호 장치 역할을 하여 무단 액세스로부터 보호하고 인증을 위해 사용자의 WP 로그인 자격 증명 또는 클라이언트 ID와 클라이언트 비밀을 공유할 필요성을 없앱니다. 이 WordPress API 키 생성기 접근 방식은 고유한 인증 키를 생성하여 웹사이트에서 다양한 WordPress REST API를 인증하는 데 활용할 수 있습니다.
WordPress REST API 키 인증을 활용하는 것은 API 키 인증을 사용하여 WP REST API를 강화하는 가장 쉽고 널리 채택된 접근 방식 중 하나입니다. 이 접근 방식은 WordPress 웹사이트에서 REST API의 보안을 강화합니다.
2. Android와 iOS용 블로그 애플리케이션을 개발했고 WordPress에 모든 블로그를 게시했다고 가정해 보겠습니다. 그러나 WordPress REST API에서 게시물/블로그를 검색하고 대중이 접근할 수 없도록 유지하고 싶습니다. 이러한 경우 GET 요청을 보호하고 엔드포인트의 보안을 보장하기 위해 WordPress REST API 키 인증을 구현하는 것이 좋습니다.
이 플러그인은 WordPress REST API를 인증하는 데 사용할 수 있는 두 가지 종류의 API 키/보안 토큰을 제공합니다.
I. 범용 API 키 - Universal API 키는 HTTP GET 방식을 포함하고 WordPress 사용자 기능이 필요하지 않은 WP REST API를 인증하는 데 가장 적합합니다.
참고 사항 : 이 키는 사용자 기능과 관련이 없으며 WordPress가 사용자 권한을 기대하는 API에 액세스하는 데 사용할 수 없습니다. "예 - 일반적인 WordPress 게시물, 댓글 등을 가져오는 데 GET API만 사용하려는 경우
II. 사용자별 API 키 - 사용자 기반 API는 GET, POST, PUT, DELETE와 같은 HTTP 메소드를 포함하는 WP REST API를 인증하는 데 가장 적합합니다. 특히 사용자 기능이 포함된 작업을 수행하려는 경우에 적합합니다.
예 - 사용자 기능(WP 역할)이나 사용자 데이터를 기반으로 WordPress 게시물을 가져오는 등의 작업을 수행하거나, 새로운 사용자, 새로운 게시물 등을 만들고 싶은 경우
다음 Rest API 인증 방법에 대한 사용 사례를 읽어보세요.
WordPress API 인증 플러그인 설정 [프리미엄]
- 플러그인에서 API 인증 탭 구성 그리고 클릭 API 키 인증 API 인증 방법으로.
- 구성을 저장한 후, 범용 API 키 섹션 새 토큰 생성 옵션이 표시됩니다. 클릭하세요. 새 키 생성 버튼. 이 키/토큰은 새 키/토큰을 생성하면 만료됩니다.
- API 키(토큰)를 생성하면 WordPress REST API 엔드포인트를 보호하는 데 사용할 수 있습니다. (항상 새로운 API 키를 생성할 수 있으며, 기존에 생성된 모든 키는 자동으로 만료됩니다).
- 아래 단계와 같이 WP 사이트에 REST API 요청을 하는 동안 API 키를 전달 토큰으로 Authorization 헤더에 전달해야 합니다.
- 이 토큰을 가지고 있는 사용자는 아래와 같이 REST API에 접근할 수 있습니다.
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
-H 'app-name:TheAppName'
I. Authorization : HTTP는 권한 부여 요청 헤더에는 일반적으로 사용자 에이전트의 자격 증명 또는 토큰 유형과 토큰 값이 포함되어 있으며, 이는 사용자 에이전트를 서버로 인증하는 수단으로 사용됩니다. 이는 일반적으로 인증 시도가 실패한 후에 발생하며, 서버는 다음과 같은 상태로 응답합니다. 401 무단.
II. Bearer <token-value>: The
교군꾼 인증 서버에서 생성됩니다. 클라이언트 애플리케이션이 인증 서버를 요청하면 서버는 해당 토큰을 인증하고 그에 따라 클라이언트 애플리케이션에 응답을 제공합니다.
프로그래밍 언어의 코드 샘플
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
request.AddHeader = ("app-name", "TheAppName");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>");
.addHeader = ("app-name", "TheAppName");
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer < access_token / id_token >",
"app-name": "TheAppName"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
'app-name: TheAppName'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
'app-name': 'TheAppName',
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
우편 배달부 샘플:
- POSTMAN 컬렉션 내보내기를 다운로드하세요. 여기에서 확인하세요.
- 아래와 같이 다운로드한 JSON 파일을 Postman 애플리케이션으로 가져옵니다.
- JSON 파일을 가져온 후 REST API 요청 아래 Collections 마지막 그림에 표시된 대로. 이제 교체하십시오. 귀하의 WordPress 도메인을 http://<wp_base_url>/wp-json/wp/v2/posts API를 교체하고 플러그인에서 생성된 토큰 값을 헤더에 입력합니다.
- 예:
Postman을 사용하여 REST API 요청을 수행하려면 아래 단계를 따르세요.
기능 설명
1. 역할 기반 REST API 제한 사항:
이 기능을 사용하면 사용자 역할에 따라 REST API 액세스를 제한할 수 있습니다. REST API를 통해 요청된 리소스에 액세스할 수 있는 역할을 지정할 수 있습니다. 따라서 사용자가 REST API 요청을 시작하면 해당 역할이 검색되고 해당 역할이 허용 목록에 포함된 경우에만 리소스에 대한 액세스가 허용됩니다.
그것을 구성하는 방법?
- 먼저 플러그인 '고급 설정' 탭으로 이동하세요.
- 역할 기반 제한 섹션에서는 처음에 모든 역할에 기본적으로 API에 대한 액세스 권한이 부여됩니다. 그러나 제한하려는 역할 옆의 확인란을 활성화하여 액세스를 선택적으로 제한할 수 있습니다.
- 위의 스크린샷에서 구독자 역할 체크박스가 활성화되어 있습니다. 따라서 구독자 역할을 가진 사용자가 API 요청을 할 때마다 해당 사용자는 요청된 리소스에 액세스할 수 없습니다.
참고 : 역할 기반 제한 기능은 기본 인증(사용자 이름: 비밀번호), JWT 방식, OAuth 2.0(비밀번호 부여) 및 API 키 인증(사용자별 API 키)에 유효합니다.
2. 커스텀 헤더
이 기능은 기본 'Authorization' 헤더 대신 사용자 지정 헤더를 선택하는 옵션을 제공합니다. 이렇게 하면 사용자 지정 이름의 헤더를 도입하여 보안이 강화됩니다. 개인이 'Authorization' 헤더로 REST API 요청을 보내려고 하면 API에 액세스할 수 없습니다.
그것을 구성하는 방법?
- 먼저 플러그인 '고급 설정' 탭으로 이동하세요.
- 그런 다음 '맞춤 헤더' 섹션에서 텍스트 상자를 편집하여 원하는 사용자 지정 이름을 입력할 수 있습니다.
3. REST API 제외
이 기능을 사용하면 REST API에 대한 허용 목록을 만들어 인증 없이 직접 액세스할 수 있습니다. 결과적으로 이 허용 목록에 포함된 모든 REST API는 공개적으로 액세스 가능해집니다.
그것을 구성하는 방법?
- 먼저 플러그인 '고급 설정' 탭으로 이동하세요.
- 그런 다음 'REST API 제외'에서 공개 액세스를 위해 허용 목록에 추가해야 하는 규정된 형식으로 API를 입력할 수 있습니다.
- 예: REST API '/wp-json/wp/v2/posts'를 제외하려면 텍스트 상자에 '/wp/v2/posts'를 입력해야 합니다.
4. 사용자별 API 키/토큰 생성
- 이 기능은 API 키 방식에서 사용할 수 있으며, 범용 키인 무작위로 생성된 토큰이 아닌 사용자별 정보를 기반으로 토큰을 생성할 수 있습니다.
- Universal API 키/토큰을 사용할 때 사용자는 POST, PUT 또는 DELETE와 같은 요청 방법을 사용하여 특정 WordPress REST API에 액세스하는 데 필요한 권한이 부족할 수 있습니다. 이러한 API에는 사용자, 게시물, 페이지 등을 만드는 것과 같은 작업이 포함되며, 이를 위해서는 특정 사용자 권한이나 역할이 필요합니다. 이러한 제한은 Universal 키가 무작위로 생성되고 사용자별 세부 정보가 포함되지 않기 때문에 발생합니다.
- 사용자 기반 API 키/토큰 기능은 사용자가 POST, PUT, DELETE와 같은 요청 메서드로 WordPress REST API를 활용할 수 있도록 지원하며, 이는 기능에 대한 사용자 자격 증명이나 특정 역할을 요구합니다. 사용자 기반 키를 사용하여 WordPress REST API 요청이 실행되면 시스템은 사용자의 역할을 검색하고 사용자가 필요한 권한을 소유한 경우에만 액세스를 부여합니다.
- 예를 들면 : 관리자 및 편집자 역할을 가진 사용자만 게시물을 만들고, 편집하고, 삭제할 수 있는 권한이 있습니다.
- 따라서 게시물을 생성/삭제/편집하기 위해 이 API에 요청이 이루어지면 API 응답은 "이 작업을 수행할 권한이 없습니다"가 됩니다.
- 이제 관리자 또는 편집자 역할이 있는 사용자를 위해 생성된 사용자 기반 토큰으로 요청이 이루어지면 해당 사용자만 이 API에 액세스할 수 있으며 API 호출을 통해 작업(생성/업데이트/삭제)을 수행할 수 있습니다.
- 드롭다운에서 사용자를 선택하고 API 키 생성 버튼을 클릭합니다.
- 화면에 팝업창이 뜨는데, 그냥 클릭하시면 됩니다 OK 토큰을 복사하려면 버튼을 클릭하세요.
- 이제 이 토큰은 API 요청에 범용 키를 사용하는 것처럼 API 요청과 함께 사용할 수 있습니다.
이 기능을 사용하는 방법:
축하합니다! 이 가이드를 사용하여 WordPress REST API 키 인증을 성공적으로 구성했습니다. 이제 WordPress REST API 엔드포인트가 안전하며 데이터가 무단 액세스로부터 보호됩니다.
관련 기사
플러그인 데모 요청
모든 기능을 갖춘 평가판 받기
답변해 주셔서 감사합니다. 곧 답변드리겠습니다.
문제가 발생했습니다. 문의사항을 다시 제출해 주세요.
도움이 필요하신가요?
메일을 보내주세요 apisupport@xecurify.com 귀하의 요구 사항에 대한 빠른 안내(이메일/회의를 통해)를 원하시면 저희 팀이 귀하의 요구 사항에 따라 가장 적합한 솔루션/계획을 선택하도록 도와드릴 것입니다.
