WP REST API (WP API) 是一个 WordPress 插件,其用途是为 WordPress 核心添加一个 JSON REST API , 以便于像移动应用之类的应用与 WordPress 进行交互。
WP-API 是可扩展的,并且具有齐备的文档,如果你使用 WP REST API (WP API) ,你很可能会被授权问题所困扰。
WP
REST API (WP API)
能让你创建、编辑获取文章 (各种 WordPress 内置的文章类型的文章以及自定义类型的文章) 、创建、编辑和获取用户等,因此,它在某些情形下需要认证
(授权),比如创建和编辑操作,就绝对需要授权才行,否则,处理申请会被 WordPress 拒绝。
据 WP REST API (WP API) 的认证 (授权) 文档来看,认证方式有三种:cookie 、 oauth 和简单认证。本文记录如何实现自定义认证。
据 WordPress 官方开发记录显示:这个插件很可能会在 2015 年 4 月 22 日发布的 WordPress 4.2 版本中加入到 WordPress 核心,那样的话,授权方式可能会有所改变,但不会大变。
举个简单的例子: 某个用户通过手机拍了一张照片,想上传到某个启用了 WP REST API (WP API) 的 WordPress 企业网站源码,那么,就需要认证了吧,那么,怎么做呢?
下面将说一种用于此种情形的认证方式。
用自定义 filter hook
在该插件目录 lib 下有个类文件 class-wp-json-server.php
, 其中有这段儿:
-
/**
-
* Check the authentication headers if supplied
-
*
-
* @return WP_Error|null WP_Error indicates unsuccessful login, null indicates successful or no authentication provided
-
*/
-
public function check_authentication() {
-
/**
-
* Pass an authentication error to the API
-
*
-
* This is used to pass a {@see WP_Error} from an authentication method
-
* back to the API.
-
*
-
* Authentication methods should check first if they're being used, as
-
* multiple authentication methods can be enabled on a site (cookies,
-
* HTTP basic auth, OAuth). If the authentication method hooked in is
-
* not actually being attempted, null should be returned to indicate
-
* another authentication method should check instead. Similarly,
-
* callbacks should ensure the value is `null` before checking for
-
* errors.
-
*
-
* A {@see WP_Error} instance can be returned if an error occurs, and
-
* this should match the format used by API methods internally (that is,
-
* the `status` data should be used). A callback can return `true` to
-
* indicate that the authentication method was used, and it succeeded.
-
*
-
* @param WP_Error|null|boolean WP_Error if authentication error, null if authentication method wasn't used, true if authentication succeeded
-
*/
-
return apply_filters( 'json_authentication_errors', null );
-
}
基于上面的这个函数以及其被调用位置,我们可以加进去一个 hook,以确认认证是否成功:
-
/**
-
* WP JSON API 认证检查
-
* @param null
-
* @return boolean 是否认证成功
-
* @author suifengtec coolwp.com
-
*/
-
function coolwp_rest_api_auth_check( $result ){
-
-
if(
-
!isset($_GET['id'])
-
// ||!isset($_GET['app_key'])
-
||!isset($_GET['app_token'])
-
||empty($_GET['id'])
-
// ||empty($_GET['app_key'])
-
||empty($_GET['app_token'])
-
-
-
){
-
return false;
-
}
-
-
//获取从应用 GET 过来的用户 id 、 app_key 和 app_token, 当然了,你也可以只用一个去 app_key 和 app_token 中的任何一个去检查
-
$user_id = (int)$_GET['id'];
-
// $app_key = sanitize_text_field($_GET['app_key']);
-
$app_token = sanitize_text_field($_GET['app_token']);
-
-
//查询 app_key 和 app_token, 当然了, 你也可以自定义一种算法,
-
//$wp_key = get_user_meta( $user_id, 'app_key', true);
-
$wp_token = get_user_meta( $user_id, 'app_token', true);
-
-
-
//将从应用客户端获取到的值与数据库存储的值进行对比
-
if(
-
( $wp_token == $app_token )
-
// &&( $wp_key == $app_key )
-
-
){
-
-
return true;
-
}
-
-
return false;
-
-
}
-
add_filter('json_authentication_errors', 'coolwp_rest_api_auth_check');
结论
加入 rest api 的 WordPress 甚至可以让你做一个在线支付网站,有了这组 api ,基于 WordPress 的原生安卓应用和 IOS 应用可以更好的与 WordPress 站点进行交互。