Авторизация в REST API

В REST API есть публичные и приватные конечные точки. Приватные требуют, чтобы пользователь был авторизован и имел соответствующие права на выполнения действия. Аутентификация в REST API выполняется во время запроса.

Аутентификация по cookies

Авторизация по кукам — это стандартный метод аутентификации в WordPress. Пользователь вводит свой логин/пароль, на основе них создается кука (и сохраняется в браузере). А дальше по этой куке WP каждый раз проверяет авторизован ли пользователь.

До версии 5.6 это был единственный метод авторизации в REST API доступный в WordPress по умолчанию. После, появились еще Пароли приложений.

Для авторизации по кукам в REST запросе обязательно нужно передавать nonce-код. Нужно это для безопасности от атак Cross-Site Request Forgery (CSRF). Такой подход нужен только для обработки запросов, которым нужны особые права, например, запрос на удаление/изменение записи, рубрики и т.д.

Если использовать встроенный Javascript API

То можно забыть про nonce-код, так как API в этом случае все делает за вас. Это рекомендуемый метод использовать запросы к REST API при создании плагинов и тем, так можно быть уверенным, что любой запрос будет отправлен правильно. Базу wp.api.models.Base можно расширять.

Если использовать произвольные AJAX запросы

То нужно самому передавать nonce-код при каждом запросе. Для создания такого nonce-кода нужно использовать ключ wp_rest - wp_create_nonce( 'wp_rest' ).

Nonce-код можно передать через:

_wpnonce — параметр GET/POST запроса.
X-WP-Nonce — HEADER параметр заголовка запроса.

Примеры смотрите ниже.

Если правильный nonce-код НЕ указан, то REST API будет считать что авторизации НЕТ - current_user=0, даже если юзер авторизован на самом сайте.

Заметка: так как PHP не переводит данные DELETE запроса в суперглобальный массив $_REQUEST, рекомендуется указывать nonce-код в заголовке запроса — через X-WP-Nonce.

Метод авторизации на куках будет работать только:

при AJAX запросах - когда REST API используется «внутри» WordPress.
когда текущий пользователь авторизован на сайте.
когда у текущего пользователя есть достаточные права для выполнения указанного действия (например, удаления/изменения поста).

Примеры установки nonce-кода для кастомных AJAX запросов:

#1 Как передавать nonce-код в AJAX запросах.

Допустим мы сгенерировали nonce код функцией wp_create_nonce( 'wp_rest' ) и он равен asdf654adsf, тогда:

Передача в параметре _wpnonce:

// GET запрос
let fetch = fetch( 'http://site/uri/?_wpnonce=asdf654adsf' );

// POST запрос
let fetch = fetch( 'http://site/uri/', {
	method: 'POST',
	body: new URLSearchParams( '_wpnonce=asdf654adsf&foo=bar' )
	// body: new URLSearchParams( [ ...new FormData(formElement).entries() ] )
} );

// POST запрос на jQuery
let request = jQuery.ajax( 'http://site/uri/', {
	method: "POST",
	data: {
		_wpnonce: "asdf654adsf",
		foo: "bar"
	}
} );

Передача в заголовке X-WP-Nonce:

// fetch запрос
let fetch = fetch( 'http://site/uri/', {
	method: 'POST',
	headers: {
		'X-WP-Nonce': 'asdf654adsf'
	},
	body: new URLSearchParams( 'foo=bar' )
} );

// jQuery запрос
let request = jQuery.ajax( 'http://site/uri/', {
	method: "POST",
	headers: {
		'X-WP-Nonce': 'asdf654adsf'
	},
	data: { foo: "bar" }
} );

#1.2 Как создавать и передавать nonce-код.

Создадим nonce-код и ссылку на REST API, и добавим эти данные в HTML чтобы затем их использовать:

wp_localize_script( 'my-js-file', 'REST_API_data', array(
	'root'  => esc_url_raw( rest_url() ),
	'nonce' => wp_create_nonce( 'wp_rest' )
) );

Теперь используем созданные данные в JS коде.

Изменим заголовок поста 1. Для этого используется маршрут /wp/v2/posts/{id}:

jQuery.ajax( {
	url        : REST_API_data.root + 'wp/v2/posts/1',
	method     : 'POST',
	beforeSend : function ( xhr ) {
		xhr.setRequestHeader( 'X-WP-Nonce', REST_API_data.nonce );
	},
	data       : {
		'title' : 'Новый заголовок'
	}
} )
.done( function ( response ) {
	console.log( response );
} );

Проверять nonce-код при обработке конечной точки не нужно. REST API делает это автоматически. Подробнее см. rest_cookie_check_errors().

Другие способы аутентификации

Когда нужен другой метод авторизации, например для работы с сайтом из стороннего приложения, используйте:

Пароли приложений — встроенная в ядро возможнсоть.
Плагин: OAuth 1.0a Server
Плагин: JSON Web Tokens

add_filter( 'rest_authentication_errors', function( $result ) { if( empty( $result ) && ! current_user_can('edit_others_posts') ){ return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });

<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>REST API запрос</title> <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.5.1/jquery.min.js"></script> <script src="https://snipp.ru/files/base64.js"></script> </head> <body>  <button id="btn"> Button</button> <script> let btn = document.getElementById("btn"); btn.addEventListener("click", () => { $(document).ready(function () { let username = 'ваш логин админа'; let password = 'ваш пароль админа'; $.ajax({ url: 'http://ваш сайт/wp-json/wp/v2/posts/', method: 'POST', dataType: 'application/json', crossDomain: true, beforeSend: function ( xhr ) { xhr.setRequestHeader( 'Authorization', 'Basic ' + Base64.encode(username+':'+password) ); }, data:{ 'status':'publish', 'title':'New Hello post World!', 'content':'Welcome to WordPress, new post. This is your first post. Edit it, then start writing!!!', 'categories':'1' }, success: function( data, txtStatus, xhr ) { console.log( data ); console.log( xhr.status ); } }); }); }); </script> </body> </html>

Antonio1

Здравствуйте!
Хочу базу данных WP использовать "из вне" через REST API, но не хочу, чтобы эти данные были кому-то еще доступны. Можно ли без помощи плагинов, прописать самому проверку на наличие токена в заголовках запросов, чтобы если этого заголовка с токеном нет - то никакие данные по API не возвращались? Спасибо.

4.2 года назад #

Kama9100
Отключать доступ к рест API рекомендуется через хук rest_authentication_errors.
```
add_filter( 'rest_authentication_errors', function( $result ) {
	if( empty( $result ) && ! current_user_can('edit_others_posts') ){
		return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
	}

	return $result;
});
```
Там любую проверку можешь поставить. Этот хук при любом рест запросе срабатывает, если WP_Error вернет, то доступ закрыт...
0

4.2 года назад #

morgunov-vitaly1

Привет! Огромное спасибо за этот портал!
Очень бы хотелось развернутую статью, как организовать oAuth 2.0. авторизацию для использования с REST API

2.7 лет назад #

Сергей

Приветствую Кама, спасибо за дельные советы!
Разбираясь с REST API в WP, как раз начал с базовой аутентификации, как все наверное)
При создании тестовой страницы на localhost которая отправляет запросы на тестовый сайт (который на хосте) столкнулся с тем, что Base64.encode не работал при отправке. Помогла эта библиотека https://snipp.ru/files/base64.js (сайт не мой) Получился следующий код который работает и добавляет новую статью:

2.5 лет назад #