我正在考虑基于 Wordpress 和 Wordpress REST API 制作一个 frontend application,但我不是安全专家。 我注意到默认情况下I can fetch the content without having an auth key for the application,所以基本上每个人都可以在未经授权的情况下获取内容(我理所当然地认为,如果我没有登录,至少我不能发布任何内容)。 这正常吗?
有谁知道我如何通过创建密钥来限制这种行为?
非常感谢
【问题讨论】:
标签: json wordpress rest api react-redux
要做你想做的事,你需要对 JSON Web Tokens 和两个插件有一个健康的理解。
第一个插件是My Private Site。此插件将阻止用户查看网站前端的任何内容。将 Wordpress 变成内容编辑器,只有 REST API 可用于访问内容。
您想要的第二个插件是Advanced Access Manager。这将允许您在用户从 RestApi 请求数据时要求 JWT 身份验证。这是来自 AAM 的一篇关于如何设置 JWT in Wordpress 的文章。
我希望这会有所帮助:D
【讨论】:
只需在 header.php Enable CORS on JSON API Wordpress 中启用 CORS
以下可能是有用的考虑因素:
遵守此处所述的https://www.wpwhitesecurity.com/wordpress-security/wordpress-rest-api-and-the-security-worries/:
可用的信息 通过 WordPress REST API 已经可以通过其他方式向公众提供,例如网站本身和 RSS。之间的唯一区别 网站的前端,RSS 和 REST API 是数据的方式 呈现。
本文底部的一个问题是关于 DoS 攻击的,答案如下:
如帖子中所述,可通过 REST API 获得的数据已经 公开可用,因此攻击者可以创建 DoS 类型的攻击 在 REST API 上,他可以在网站上做同样的事情。实际上,请求 来自 REST API 的东西比从接口请求它时更有效,因为请求和响应包含的数据(接口本身)少得多,所以在某种程度上,它更有效。
【讨论】: