Método de autenticação de chave da API REST do WordPress | API REST segura
Visão geral
A autenticação da chave da API REST do WordPress envolve verificando a chave da API (token do portador) para obter acesso às APIs REST do WP. Sempre que uma solicitação é iniciada para acessar os endpoints da API REST do WP, é necessária a autenticação usando a chave (token do portador). O acesso aos recursos para o endpoint da API REST do WordPress solicitado é concedido com base na validação da chave da API (token do portador).
Para registro, a chave API é um protocolo de autenticação projetado para permitir que os desenvolvedores gerem chaves de autenticação que podem ser usados para recursos como processos do lado do servidor, aplicativos de celular e computadores desktop.
O método de autenticação de chave de API do WordPress é um meio vital para garantir a segurança da sua API REST do WordPress. Se a chave de API for comprometida, ela poderá ser regenerada, fazendo com que todas as chaves geradas anteriormente expirem automaticamente. A chave recém-criada será então utilizada para a Autenticação de Chave de API do WordPress. Deixar de proteger sua API REST pode representar riscos de segurança significativos, pois pode permitir que pessoas não autorizadas acessem seu sistema, o que pode levar a violações de dados.
Este guia o guiará por um processo detalhado, passo a passo, para instalando e configurando a autenticação da API REST do WordPress para aumentar a segurança da sua API REST.
Autenticação da API REST do WordPress
O plugin de autenticação da API REST do WordPress oferece segurança contra acesso não autorizado às suas APIs REST do WordPress. Nosso plugin oferece diversos métodos de autenticação, como Autenticação Básica, Autenticação por Chave de API, Autenticação OAuth 2.0 e Autenticação JWT.
Saber MaisPré-requisitos: Download e instalação
- Efetue login na sua instância do WordPress como administrador.
- Ir para o WordPress Painel -> Plugins e clique em adicionar Novo.
- Pesquisar por um WordPress Autenticação REST API plugin e clique em Agora instale.
- Uma vez instalado, clique em Ativação.
Caso de uso: proteger/proteger o acesso aos endpoints da API REST do WordPress por meio de chave/token do portador
1. A autenticação por chave de API pode servir como proteção para seus endpoints de API REST do WordPress, como posts, páginas ou quaisquer outras APIs REST do WordPress, protegendo-os de acesso não autorizado e eliminando a necessidade de compartilhar as credenciais de login do WP ou o ID do cliente e a chave secreta do cliente para autenticação. Esta abordagem de gerador de chaves de API do WordPress cria uma chave de autenticação exclusiva, que você pode utilizar para autenticar diversas APIs REST do WordPress em seu site.
Utilizar a autenticação por chave da API REST do WordPress representa uma das abordagens mais fáceis e amplamente adotadas para fortalecer sua API REST do WordPress com autenticação por chave de API. Essa abordagem aumenta a segurança das APIs REST no seu site WordPress.
2. Imagine que você desenvolveu um aplicativo de blog para Android e iOS e publicou todos os seus blogs no WordPress. No entanto, você gostaria de recuperar as postagens/blogs das APIs REST do WordPress, mantendo-os inacessíveis ao público. Nesses casos, é recomendável implementar a Autenticação de Chave da API REST do WordPress para proteger suas solicitações GET, garantindo a segurança dos seus endpoints.
O plugin fornece dois tipos de chaves de API/tokens de segurança que podem ser usados para autenticar APIs REST do WordPress -
I. Chave de API universal - A chave de API Universal será mais adequada para autenticar as APIs REST do WP, que envolvem o método HTTP GET e não exigem recursos do usuário do WordPress.
Observe: Esta chave não envolve recursos do usuário e não pode ser usada para acessar APIs para as quais o WordPress espera permissões do usuário. "Exemplo - Se você quiser apenas usar as APIs GET para buscar postagens gerais do WordPress, comentários, etc.”
II. Chave de API específica do usuário - A API baseada no usuário será a mais adequada para autenticar as APIs WP REST que envolvem qualquer um dos métodos HTTP, como GET, POST, PUT, DELETE, especialmente nos casos em que você deseja executar operações que envolvem recursos do usuário.
Exemplo - Se você quiser executar alguma operação como buscar posts do WordPress com base nas capacidades do usuário (suas funções do WP), dados do usuário ou quiser criar novos usuários, novos posts, etc.
Leia os casos de uso para os seguintes métodos de autenticação da API REST:
Configurar o plugin de autenticação da API do WordPress [Prêmio]
- No plugin, vá para o Guia Configurar Autenticação de API e clique em Autenticação de chave de API como o método de autenticação da API.
- Depois de salvar a configuração, em Seção de chave de API universal você terá a opção de gerar novo token, clique em Gerar nova chave botão. Esta chave/token expirará quando você gerar uma nova chave/token.
- Após gerar a chave de API (token), você poderá usá-la para proteger seus endpoints da API REST do WordPress. (Você sempre pode gerar uma nova chave de API, e todas as chaves geradas existentes expirarão automaticamente).
- Você precisa passar a chave de API para o cabeçalho de autorização como um token portador ao fazer a solicitação de API REST para seu site WP, conforme mostrado na etapa abaixo.
- Usuários que possuem esse token podem acessar a API REST conforme mostrado abaixo.
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer <token>
Sample request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:Authorization: Bearer kGUfhhzXZuWisofgnkAsuHGDyfw7gfhg5s
Sample curl Request Format-
curl -H "Authorization:Bearer <token-value>"
-X GET http://<wp_base_url>/wp-json/wp/v2/posts
-H 'app-name:TheAppName'
I. Authorization : O HTTP Autorização O cabeçalho da solicitação normalmente inclui as credenciais do agente do usuário ou o tipo e o valor do token, servindo como um meio de autenticar o agente do usuário com um servidor. Isso geralmente ocorre após uma tentativa de autenticação malsucedida, em que o servidor responde com o status 401 Não autorizado.
II. Bearer <token-value>: O processo de
Portador é criado pelo servidor de autenticação. Quando um aplicativo cliente solicita o servidor de autenticação, o servidor autentica esse token e envia uma resposta correspondente ao aplicativo cliente.
Exemplos de código em linguagens de programação
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "Bearer <token-value>");
request.AddHeader = ("app-name", "TheAppName");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "Bearer <token-value>");
.addHeader = ("app-name", "TheAppName");
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "Bearer < access_token / id_token >",
"app-name": "TheAppName"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: Bearer <token-value>'
'app-name: TheAppName'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': 'Bearer <token-value>'
'app-name': 'TheAppName',
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Amostras do Carteiro:
- Baixe a exportação da coleção POSTMAN de aqui..
- Importe o arquivo JSON baixado para o aplicativo Postman, conforme mostrado abaixo.
- Depois de importar o arquivo JSON, clique no Solicitação de API REST sob a Coleções como mostrado na última figura. Agora recoloque o com seu domínio Wordpress no http://<wp_base_url>/wp-json/wp/v2/posts e substituir a API no cabeçalho com o valor do token conforme gerado no plugin.
- Exemplo:
Siga os passos abaixo para fazer uma solicitação de API REST usando o Postman:
Descrição do Recurso
1. Restrição da API REST baseada em função:
Este recurso permite restringir o acesso à API REST de acordo com as funções do usuário. Você tem a opção de especificar quais funções devem ter permissão para acessar o recurso solicitado por meio das APIs REST. Portanto, quando um usuário inicia uma solicitação da API REST, sua função é recuperada e o acesso ao recurso só é concedido se a função estiver incluída na lista de permissões.
Como configurá-lo?
- Primeiro, vá para a aba "Configurações avançadas" do plugin.
- Na seção Restrição Baseada em Funções, inicialmente, todas as funções recebem acesso às APIs por padrão. No entanto, você pode limitar o acesso seletivamente marcando a caixa de seleção ao lado das funções que deseja restringir.
- Na captura de tela acima, a caixa de seleção da função de assinante está habilitada. Portanto, sempre que uma solicitação de API for feita pelo usuário com a função de assinante, esse usuário não terá permissão para acessar o recurso solicitado.
Observação: O recurso de restrição baseado em função é válido para autenticação básica (nome de usuário: senha), método JWT, OAuth 2.0 (concessão de senha) e autenticação de chave de API (chave de API específica do usuário).
2. Cabeçalho personalizado
Este recurso oferece a opção de escolher um cabeçalho personalizado em vez do cabeçalho padrão "Autorização". Isso aumentará a segurança ao introduzir um cabeçalho com nome personalizado. Se alguém tentar enviar uma solicitação de API REST com um cabeçalho "Autorização", não conseguirá acessar as APIs.
Como configurá-lo?
- Primeiro, vá para a aba "Configurações avançadas" do plugin.
- Então, no 'Cabeçalho personalizado' seção, você pode editar a caixa de texto para inserir o nome personalizado desejado.
3. Excluir APIs REST
Este recurso permite criar uma lista de permissões para suas APIs REST, permitindo acesso direto a elas sem a necessidade de autenticação. Consequentemente, todas as APIs REST incluídas nessa lista de permissões se tornam acessíveis publicamente.
Como configurá-lo?
- Primeiro, vá para a aba "Configurações avançadas" do plugin.
- Em seguida, em "Excluir APIs REST", você pode inserir suas APIs no formato prescrito, que precisa ser incluído na lista de permissões para acesso público.
- Exemplo: Suponha que você queira excluir a API REST ' /wp-json/wp/v2/posts', então você precisa digitar '/wp/v2/posts' na caixa de texto.
4. Crie chaves/tokens de API específicos do usuário
- Esse recurso está disponível no método de chave de API, permitindo que tokens sejam gerados com base em informações específicas do usuário, em vez de um token gerado aleatoriamente, que é uma chave universal.
- Ao utilizar a chave/token da API Universal, os usuários podem não ter as permissões necessárias para acessar APIs REST específicas do WordPress com métodos de solicitação como POST, PUT ou DELETE. Essas APIs envolvem ações como a criação de usuários, postagens, páginas, etc., que exigem permissões ou funções específicas do usuário para operação. A limitação surge porque a chave universal é gerada aleatoriamente e não inclui detalhes específicos do usuário.
- O recurso de chave/token de API baseado em usuário permite que os usuários utilizem APIs REST do WordPress com métodos de solicitação como POST, PUT e DELETE, que exigem credenciais de usuário ou funções específicas para funcionalidade. Quando uma solicitação de API REST do WordPress é executada usando a chave baseada em usuário, o sistema recupera a função do usuário e concede acesso somente se o usuário possuir as permissões necessárias.
- Por exemplo: Somente usuários com funções de administrador e editor têm permissão para criar/editar/excluir uma postagem.
- Portanto, se uma solicitação for feita a esta API para criar/excluir/editar a postagem, a resposta da API resultará em “Você não tem permissão para executar esta operação”.
- Agora, se uma solicitação for feita com o token baseado no usuário gerado para o usuário que tem função de administrador ou editor, somente ele terá acesso a esta API e poderá operar (criar/atualizar/excluir) por meio da chamada da API.
- Selecione o usuário no menu suspenso e clique em Criar chave API botão.
- Um pop-up aparecerá na tela, você só precisa clicar no OK botão para copiar o token.
- Agora, esse token pode ser usado com a solicitação de API, assim como a chave universal é usada para fazer a solicitação de API.
Como usar este recurso:
Parabéns! Você configurou com sucesso a Autenticação de Chave da API REST do WordPress usando este guia. Agora, seus endpoints da API REST do WordPress estão seguros e seus dados protegidos contra acesso não autorizado.
Artigos Relacionados
Solicite uma demonstração do plugin
Obtenha uma avaliação completa
Obrigado pela sua resposta. Entraremos em contato em breve.
Algo deu errado. Envie sua consulta novamente.
Precisa de ajuda?
Envie-nos um e-mail apisupport@xecurify.com para orientação rápida (por e-mail/reunião) sobre sua necessidade e nossa equipe ajudará você a selecionar a melhor solução/plano adequado de acordo com sua necessidade.
