您当前的位置:首页 > TAG信息列表 > authentication
身份验证Cookie值安全风险?
这次有一个简短的问题:当第三方访问WordPress auth cookie时,会有多大的安全风险?例如,他们是否可以简单地复制cookie并作为原始cookie所有者的用户“登录”?我这样问是因为我计划在不同的服务器之间传递auth cookie值。
如何对所有资源实施身份验证?
我想用wordpress主持一本个人日记。我不想与第三方共享它,但我希望能够使用我的管理员凭据从任何地方访问它。有几个插件,它们除了保护对站点/帖子的访问之外,什么都不做——除了其他一切(/wp-content/ 首先也是最重要的)仍然可以在没有权限的情况下访问。所以我基本上想要的是/wp-admin 是我博客上每个资源所必需的。${SITE_URL}/.* 我知道我可以添加一些.htaccess 基本身份验证。但我想避免这种情况。
WooCommerce上的JWT无法使用“Customer”角色用户
我正在开发直接连接到woocommerce rest api的移动应用程序。我使用这个插件进行身份验证,比如注册、登录、下单等。所以问题来了,当我注册新用户(默认角色为Customer)时,我尝试下订单:http://123.456.789.910/lili_shop/wp-json/wc/v3/orders , 上面写着:{ \"code\": \"woocommerce_rest_cannot_view\", \"message\": \"Sorry, you cann
针对当前请求验证用户
WordPress插件是否有办法对当前请求的用户进行身份验证?我的计划是通过包含用户名和密码的HTTP头对用户进行身份验证。然后,应使用此信息处理当前请求,就像此用户将登录一样。但是,不应设置会话cookie或任何内容,以便身份验证仅对当前请求有效。(我知道安全问题,已经解决了)该机制应适用于呈现HTML且不限于JSON API的普通页面。Background我的WordPress安装无法从internet访问,但可以从应用程序服务器进行反向代理。我将WordPress中的一些页面配置为仅对某些WordP
激活和密码重置时密钥无效
我现在很为难,即将发布基于Wordpress的应用程序,但我无法完成注册,因为密码设置/重置键是sometimes 无效的我说有时是因为当用户注册时,他会获得设置密码的链接,这总是无效的。然后要求他输入用户名以重置密码,并发送一封新的电子邮件。该链接也无效,但是,如果他再次请求新的密码重置电子邮件,则该链接有效。问题似乎是产生的关键。当他们的键没有符号时,它就会工作,例如:https://www.example.com/account/reset/?key=f2XFLHJGvemH&id=209当
PHP:对REST请求进行身份验证?
我确实使用REST api为正在开发的插件创建了一些自定义端点。它工作得很好,但现在我想保护这些请求:我不需要外部用户(EDIT: 我指的是远程请求),以便能够进行查询。但我只找到有关javascript身份验证的文档(REST API Handbook).如何使用PHP实现身份验证(此处为WP 5.1.1)?谢谢
如何使用FETCH API使用JWT身份验证对WP REST API进行身份验证
我的目标是将带有POST请求的用户评论从服务器端Lambda函数发送到我的WordPress API。我正在使用Gatsby 和Netlify. 当有人在我的盖茨比前端留言时,Netlify会收到form submission event 和aNetlify Lambda function 被调用。正是在这个功能中,我将通过WP-REST API.问题是我的功能似乎在默默地失败。部分原因可能是Netlify如何提供其功能日志。我的直觉是,需要某种形式的身份验证才能向WP REST API发表评论,所以我继
在定制路线上强制授权
我正在wordpress主题中设置多个自定义api路由,我希望这需要一个JWT令牌才能访问。因此,我按照这些步骤获得了WP-restapi插件的JWT身份验证,并且我能够成功地获得一个令牌并在默认路由上使用它。然而,在自定义路由上不需要它,如果未指定授权标头,我将成功地从路由获取数据。如果我使用错误的承载令牌提供授权,那么JWT插件将启动并返回错误令牌,但这意味着只要没有定义授权头,就可以自由使用路由。以下是我的自定义路线:add_action(\'rest_api_init\', function()
WordPress rest API:我们如何使用我们的定制API密钥进行验证?
如何使用我们生成的API密钥验证WordPress的“endpoint”函数的“Cancel the header auth”。(注意:不是其他端点,而是原始端点)我有自己的“加密”类/函数。在请求中,我需要发送一个加密密钥,“解密”来自“wp函数”的“加密密钥”等等,并允许请求。我需要能够在wordpress自己的端点库上完成所有这些。A simple example of my query structure:$.ajax({ type: \"POST\", url: \"ht
如何在WordPress中上传和密码保护Javadoc?
我正试图在付费墙后面在线托管我们软件的Javadocs。我们试图在Wordpress中呈现文档,但显然失败了。我的理论是,我们可以在WordPress中直接将文件夹上传到我们的根目录(当我们没有登录时,也就是在我们的主站点上时,它工作得很好),但我不知道使用我们的登录插件是否可能实现这一点。最终,我需要一个解决方案,允许我在付费墙后面批量上传(不以任何方式更改)300多个HTML Javadocs。这在WordPress中是可行的还是需要创建自定义解决方案?我们的网站目前使用WPForo(用于我们的论坛)
高级访问管理器:刷新令牌的REST风格的端点
我正在使用高级访问管理器(AAM)插件,并一直在尝试使用/aam/v1/refresh-jwt RESTful endpoing,但我得到以下错误:“rest_jwt_validation_failure”: [“Wrong number of segments”] 我调用端点的方式如下:POST {{Base URL}}/wp-json/aam/v1/authenticate HEADERS Authentication: Bearer {{token}} 有没有想过我做错了
从bundle.js中的FETCH请求调用时的REST API身份验证问题
我可以将Rest API用于不需要身份验证的调用,但对于需要身份验证的路由,我遇到了身份验证问题。这里是a的一部分。管理页面的php视图模板:<div id=\"nonceCreator\"> <script> let _wpnonce = <?php echo json_encode(wp_create_nonce(\'wp_rest\')); ?>; let cookiesArray = <?php ech
我们是否可以从PERMISSION_CALLBACK中访问REST请求参数,以通过返回FALSE来强制执行401?
从我迄今为止的尝试和测试来看,getter和setter在函数内部不起作用permission_callback.另一种方法是从回调本身抛出自定义401。是否可以使用permission_callback, 检查参数,并return false 而不是在callback 对于相同的功能return 401?Update 1:permission_callback => function($request) { $request->get_params(); } 不返回任何内容。我需要检查主体
使用JS/React的WooCommerce OAuth 1.0+JWT身份验证
我的方案:用于用户查询的JWT身份验证,需要自定义.htaccess 要识别Bearer 用于系统查询的授权标头OAuth 1.0a,由于.htaccess 自定义身份验证参数需要进入body/查询字符串中,我使用React作为前端,WP/WooCommerce作为后端。我使用axios (我希望避免将其替换为较低级别的替代品)对于OAuth 1.0,我使用oauth-1.0a. 现在,当oauth参数位于querystring中时,GET请求可以正常工作,但我无法让POST正常工作in JS 这让我抓狂
Authenticating with REST API
我尝试了各种方法来验证post请求。WP用户插件-根据docs, 我已登录wp-json/wpuser/v1/user/login 收到了我的令牌。我已将该令牌作为名为“Authorization”(也尝试了“Authorization”)的标头传递给wp-json/wp/v2/job-listings/ 我明白了401: rest_cannot_create. 我也试过这个authorization 作为参数,以及h:authorization, 还有大写字母“A”。JSON API插件-使用生成non
当我登录时,CURRENT_USER_CAN(‘管理员’)返回FALSE
protected function isAdmin() : bool { $check = current_user_can(\'administrator\'); return $check; // returns false as I am logged in as superadmin, refreshing the page for xdebug to run } $check 使用时也计算为falsecurrent_user
REST API:WP_VERIFY_NONCE()失败,尽管收到正确的随机数值
我正在生成一个nonce,用于对rest api的客户端提取请求:function prepAllAdminScripts() { wp_register_script( \'reactAdminArea\' , PLUGIN_FOLDER_URL . \'shared/adminArea.bundle.js\' , null , null , true ); wp_localiz
WordPress HTTP API NTLM身份验证
我想知道是否有人在使用时必须使用NTLM身份验证wp_remote_get? 尝试使用Basic进行身份验证,但返回代理错误。当我为使用基本方法的不同API使用其他验证器时,它可以完美地工作!有人能解决这些问题吗?
传出代理连接问题
我正在尝试在需要代理连接才能连接到internet的服务器上设置Wordpress。以下是我在wp配置中输入的内容。php:/* Configure HTTP Proxy Server */ define(\'WP_PROXY_HOST\', \'xx.xx.xx.xx\'); define(\'WP_PROXY_PORT\', \'8080\'); define(\'WP_PROXY_USERNAME\', \'xxxxx\'); define(\'WP_PROXY_PA
Wp-登录时的基本身份验证.htAccess,但允许从WooCommerce注销
我使用.htaccess 在我的WC网站上进行基本身份验证,以帮助防止黑客访问wp-login, 效果很好。。。除WooCommerce外,如果登录的客户想要从其帐户注销-单击注销链接后,他们会收到基本的身份验证弹出窗口,要求他们“授权”(由我们的.htaccess).在Woocommerce仪表板上:您好MrTest(不是MrTest?注销)<<;单击“注销”将打开基本身份验证登录框。。。。我们如何避免这种情况?以下是htaccess的内容:<FilesMatch \"wp-login.p