WordPress REST API Authentication plugin ger säkerheten från obehörig åtkomst till dina WordPress REST API:er.
Sökresultat :
×WordPress REST API-autentisering med hjälp av tredjepartsleverantörsmetoden innebär användning av tokens (access-token/id-token/jwt-token) som tas emot från tredjepartsleverantörer som Google, Facebook, Firebase, Apple, Azure AD, Keycloak, Okta, AWS Cognito , Github, Slack, Gitlab, etc. för säker åtkomst till wordpress rest-api.
WordPress-slutpunkter är inte säkra som standard och data kan stjälas via REST API:er i JSON-format. WordPress REST API-autentisering låter dig anropa REST API:er med flera säkerhetsmetoder som Basic Auth, API KEY, JWT-token, OAuth-token. I den här guiden kommer vi att använda OAuth-token som utfärdats av OAuth/OpenID Connect/Firebase-leverantörer för att validera REST API-förfrågningar som kommer att hålla din WordPress-webbplats skyddad och säker.
Varje gång en begäran om åtkomst till REST API görs kommer autentiseringen att göras mot den token som utfärdats av tredjepartsleverantörer som Google, Facebook, Firebase, Apple, okta, etc, och på basis av valideringen av API:et token kommer resurserna för den REST API-begäran att tillåtas åtkomst. Så den enda token du fick på din app efter SSO-inloggning kan användas ytterligare för att komma åt WP REST API-slutpunkter.
WordPress REST API Authentication plugin ger säkerheten från obehörig åtkomst till dina WordPress REST API:er.
1. WordPress REST API Endpoint-begäran görs med åtkomst/id-token som erhållits från OAuth/OpenID Connect Identity-leverantörer som skickas i auktoriseringshuvudet med tokentypen som bärare.
2. WordPress REST API-begäran övervakas av vårt plugin och JWT-token validering/autentiseringsbegäran skickas till OAuth/OpenID Connect Identity Provider (Server).
3. Svaret returneras från OAuth/OpenID Connect Identity Provider(Server) för begäran som görs tidigare för att validera JWT-token.
4. Om valideringen/autentiseringen av JWT-token lyckas, tillåts åtkomst till den begärda resursen, vilket innebär att begäranden nu har behörighet att få tillgång till resursen/datan och om tokenvalideringen misslyckades kommer ett felsvar att returneras . Så resursdata är nu skyddade och kan nås vid auktorisering, därför är säkerheten inte ett problem.
Relaterat användningsfall: Hur förhindrar man WordPress REST API-slutpunkter med JWT-token som tillhandahålls av Social Login eller OAuth2.0/OpenID Connect Identity Providers?
Hur utför man autentisering och säkerställer säkerhet eller utför auktorisering för att ge åtkomst till WordPress REST API-slutpunkter på basis av åtkomst-/id-token som tillhandahålls av Social Login/OAuth-leverantörer under OAuth/OpenID SSO-inloggningsflödet?
Request: GET https://<domain-name>/wp-json/wp/v2/posts
Header:
access_token : < access_token >
OR
id_token : < id_token >
var client = new RestClient("http://<wp_base_url>/wp-json/wp/v2/posts ");
client.Timeout = -1;
var request = new RestRequest(Method.GET);
request.AddHeader("Authorization", "< access_token > OR id_token <id_token>");
IRestResponse response = client.Execute(request);
Console.WriteLine(response.Content);
OkHttpClient client = new OkHttpClient().newBuilder().build();
MediaType mediaType = MediaType.parse("text/plain");
RequestBody body = RequestBody.create(mediaType, "");
Request request = new Request.Builder()
.url("http://<wp_base_url>/wp-json/wp/v2/posts ")
.method("GET", null)
.addHeader = ("Authorization", "< access_token > OR id_token <id_token>")
.build();
Response responseclient.newCall(request).execute();
var settings = {
"url": "http://<wp_base_url>/wp-json/wp/v2/posts ",
"method": "GET",
"timeout": 0,
"headers": {
"Authorization": "< access_token > OR id_token <id_token>"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
<?php
$curl = curl_init();
curl_setopt_array($curl, array
(
CURLOPT_URL => 'http://%3Cwp_base_url%3E/wp-json/wp/v2/posts%20',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'GET',
CURLOPT_HTTPHEADER => array(
'Authorization: < access_token > OR id_token <id_token>'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;
import http.client
conn = http.client.HTTPSConnection("<wp_base_url>")
payload= "
headers = {
'Authorization': '< access_token > OR id_token <id_token>'
}
conn.request("GET", "/wp-json/wp/v2/posts ", payload, headers)
res= conn.getresponse()
data = res.read()
print (data.decode("utf-8"))
Följ stegen nedan för att göra REST API-begäran med Postman:
1. Rollbaserad REST API-begränsning:
Denna funktion tillåter begränsning av REST API-åtkomst baserat på användarrollerna. Du kan vitlista rollerna för vilka du vill tillåta åtkomst till den begärda resursen för REST-API:erna. Så närhelst en REST API-begäran görs av en användare, kommer hans roll att hämtas och får endast komma åt resursen om hans roll är vitlistad.
Hur konfigurerar man det?
Notera: Den rollbaserade begränsningsfunktionen är giltig för grundläggande autentisering (användarnamn: lösenord), JWT-metoden och OAuth 2.0 (lösenordsbeviljande).
2. Anpassad rubrik
Den här funktionen ger ett alternativ att välja en anpassad rubrik istället för standardhuvudet "Auktorisering".
Det kommer att öka säkerheten eftersom du har rubriken namngiven med ditt "anpassade namn", så om någon gör REST API-begäran med en rubrik som "Authorization" kommer han inte att kunna komma åt API:erna.
Hur konfigurerar man det?
3. Uteslut REST API:er
Den här funktionen låter dig vitlista dina REST-API:er så att dessa kan nås direkt utan autentisering. Därför är alla dessa vitlistade REST API:er offentligt tillgängliga.
Hur konfigurerar man det?
4. Anpassad tokens utgång
Den här funktionen är tillämplig för JWT- och OAuth 2.0-metoder som använder tidsbaserade tokens för att autentisera WordPress REST API-slutpunkter. Den här funktionen låter dig ställa in den anpassade utgången för tokens så att token inte längre kommer att vara giltig när token upphör.
Hur konfigurerar man det?
Därför, med denna anpassade tokens utgångsfunktion, ökar säkerheten ytterligare.
5. Aktivera avancerad kryptering för tokens med HMAC
Denna funktion är tillgänglig med den grundläggande autentiseringsmetoden där token som standard krypteras med Base64-kodningsteknik men med den avancerade funktionen kan token krypteras med mycket säker HMAC-kryptering vilket är mycket säkert.
6. Signaturvalidering för JWT-baserade tokens
Denna funktion tillåter en säker signering av JWT-signaturen för JWT-token så att din JWT-token är mycket säkrare och signaturen endast kan avkodas med klienthemligheten/certifikatet. Det betyder att din signatur är privat och inte kan ses av andra.
Vi tillhandahåller stöd för 2 signeringsalgoritmer: HS256 och RS256. Så, vilken som helst av signeringsalgoritmerna kan väljas från rullgardinsmenyn som visas i bilden ovan.
Du måste också lägga till din klienthemlighet eller certifikat som används för att signera signaturen för JWT.
7. Skapa användarspecifik API-nyckel/tokens
Så här använder du den här funktionen:
Maila oss vidare apisupport@xecurify.com för snabb vägledning (via e-post/möte) om ditt krav och vårt team hjälper dig att välja den bästa lämpliga lösningen/planen enligt dina krav.
WordPress REST API Authentication plugin ger säkerheten för obehörig åtkomst till dina WordPress REST API:er. Det ger dig en mängd olika autentiseringsmetoder som grundläggande autentisering, API-nyckelautentisering, OAuth 2.0-autentisering, JWT-autentisering.
Denna plugin låter dig skapa anpassade slutpunkter/REST-rutter för att hämta/modifiera/skapa/ta bort data med ett lättanvänt grafiskt gränssnitt och även med anpassade SQL-frågor. Plugin-programmet tillhandahåller också funktionen för att integrera extern API i din WordPress-webbplats med tredjepartsplattformar.
Behövs hjälp? Vi är här!
Tack för din förfrågan.
Om du inte hör från oss inom 24 timmar, skicka gärna ett uppföljningsmail till info@xecurify.com
Denna sekretesspolicy gäller för miniorange webbplatser som beskriver hur vi hanterar personuppgifterna. När du besöker någon webbplats kan den lagra eller hämta informationen i din webbläsare, mestadels i form av cookies. Den här informationen kan handla om dig, dina preferenser eller din enhet och används mest för att webbplatsen ska fungera som du förväntar dig. Informationen identifierar dig inte direkt, men den kan ge dig en mer personlig webbupplevelse. Klicka på kategorirubrikerna för att kontrollera hur vi hanterar cookies. För sekretesspolicyn för våra lösningar kan du se integritetspolicy.
Nödvändiga cookies hjälper till att göra en webbplats fullt användbar genom att aktivera de grundläggande funktionerna som webbplatsnavigering, inloggning, fylla i formulär etc. De cookies som används för funktionaliteten lagrar ingen personlig identifierbar information. Vissa delar av webbplatsen kommer dock inte att fungera korrekt utan cookies.
Dessa cookies samlar endast in samlad information om trafiken på webbplatsen inklusive - besökare, källor, sidklick och visningar etc. Detta gör att vi kan veta mer om våra mest och minst populära sidor tillsammans med användarnas interaktion med de handlingsbara elementen och därmed låta oss veta mer om våra mest och minst populära sidor vi förbättrar prestandan på vår webbplats såväl som våra tjänster.