在自定义Wordpress API端点中使用nonce
在自定义WordPress API端点中使用nonce是为了增加安全性和防止跨站请求伪造(CSRF)攻击的一种方法。nonce是一种随机生成的令牌,用于验证请求的合法性。
使用nonce的步骤如下:
- 在WordPress的API端点中,首先需要使用
wp_create_nonce()函数生成一个nonce值。这个函数接受一个参数,通常是一个唯一的字符串,用于标识这个nonce的用途。例如:
$nonce = wp_create_nonce( 'my_custom_endpoint' );- 在客户端发起请求时,需要将生成的nonce值作为参数传递给API端点。可以将nonce值作为请求的一个参数,或者将其放入请求头中。例如:
fetch('https://example.com/wp-json/my_custom_endpoint', {
method: 'POST',
headers: {
'X-WP-Nonce': '生成的nonce值'
},
body: JSON.stringify(data)
})- 在API端点的处理函数中,需要验证传递过来的nonce值是否有效。可以使用
wp_verify_nonce()函数进行验证。这个函数接受两个参数,第一个是传递过来的nonce值,第二个是之前生成nonce时使用的字符串标识。例如:
$nonce = $_SERVER['HTTP_X_WP_NONCE'];
if ( ! wp_verify_nonce( $nonce, 'my_custom_endpoint' ) ) {
// 验证失败,处理错误逻辑
} else {
// 验证成功,处理请求
}通过使用nonce,可以确保只有具有有效nonce值的请求才能被处理,从而增加了API端点的安全性。这种方法常用于需要对敏感数据进行操作的API端点,如创建、更新或删除数据等。
腾讯云提供了一系列云计算产品,其中包括云服务器、云数据库、云存储等。您可以根据具体需求选择适合的产品。更多关于腾讯云产品的信息,请访问腾讯云官方网站:腾讯云。
相关·内容
Membership name Availability Day Addfunction new_membership($data){$id= 0;
$nonce = $data['test_nonce']wp_verify_nonce($nonce, &#x
浏览 0提问于2021-05-15得票数 0
回答已采纳
建立我十多年来的第一个WordPress .使用Timber实现MVC。Vue放在前端,axios用于ajax帖子。它们都托管在同一个域上,因此我可以使用cookie进行身份验证。我正在创建axios --并将nonce设置为局部变量,我在Vue中获取该变量,并在通过axios发布时使用它来设置标题。我在文件中读到:
https://developer.wordpress.org
浏览 0提问于2020-11-02得票数 2
回答已采纳
如何将产品添加到购物车中,并在phonegap应用程序中显示购物车。因此,如何使用rest来完成这个任务。
提前感谢
浏览 0提问于2014-04-16得票数 17
回答已采纳
1回答
我正在制作一些API端点,这些端点要求我在允许用户使用端点之前确认用户是谁,以及他们可以做什么。function register_api_hooks() { 'bacon', '/user/',
array(', 'register_api_hoo
浏览 0提问于2019-08-06得票数 0
回答已采纳
经过几次研究,我无法解决这个问题,同时根据WordPress API手册对当前进行身份验证,我仍然有403个错误。如果我做错了什么,请告诉我。('data-nonce');import { nonce } from '..}) .post(API_URL + '/items&
浏览 9提问于2022-08-03得票数 0
我正在尝试编写一个插件,允许Wordpress认证的用户访问Firebase。我想要一个Javascript应用程序,这是从Firebase主机交付给Wordpress的API请求,并得到一个签名的JWT。因为我想使用经过身份验证的用户,所以我想我需要在API请求中发送一个nonce。( 'wp_rest' )); return $uid;
add_action( 'rest_
浏览 74提问于2021-02-21得票数 0
回答已采纳
快速上下文:我正在为我们的WIP无头WordPress站点评估一些自定义restful端点的可能的身份验证解决方案。我试图实现的是使用基于cookie的auth在我的定制端点中使is_user_logged_in返回为真。
// create an endpoint for getting a nonce
function get_nonce</
浏览 3提问于2020-04-19得票数 0
回答已采纳
我正在尝试使用get方法从自定义的WordPress应用程序接口端点获取信息。为此,我必须使用WordPress的cookies身份验证系统。 我正在使用JavaScript和fetch API。它在Mozilla Firefox和Google Chrome上运行得很好,但当我在Edge中运行代码时,它返回了一个403错误。m̶̶g̶o̶i̶n̶g̶̶t̶h̶e̶̶t̶̶t̶h̶e̶̶D̶e̶v̶T̶o̶o̶l̶̶p
浏览 14提问于2019-01-23得票数 0
回答已采纳
我正在为WordPress构建一个插件,它必须对一个自定义的WP端点执行一大堆ajax请求。请求不能异步处理,这使得必须使用工作线程来防止浏览器在处理过程中挂起。到目前为止还没有那么复杂,但我想使用WordPress现时值进行验证。当我创建一个工人时,我是这样做的:这会正确地加载worker,但现在我想要与我们的自定义Ajax端点</em
浏览 1提问于2018-11-21得票数 1
我想使用Zapier注册一个新的Wordpress用户-触发器将是在Gumroad上的一个新购买。这个插件-- --允许你使用一个公共的JSON接口注册用户,例如点击我对这一切都是新手,但我知道我可以让Zapier将买家的电子
浏览 2提问于2015-03-27得票数 2
1回答
在我的WordPress REST端点上,我登录了wordpress,返回了一个nonce,如下所示:$authenticated = wp_authenticate( $userID ,TRUE : FALSE;
{}
但是当我把nonce放在报
浏览 0提问于2017-10-06得票数 4
2回答
我正在使用WordPress REST构建一个密码更改表单。用户输入一个新密码,然后通过AJAX提交到一个自定义端点,这样做:wp_set_password($password, $userIDimmediately
//Return fresh nonceret
浏览 4提问于2017-07-31得票数 10
回答已采纳
我相信现在有多种使用方法。另一种方法是使用我对现在的理解是正确的吗So,以下是的困惑
当尝试创建自定义metabox时,添加自定义列、管理自定义列并最终保存post。我们要从哪里经过现在。让我的问题更清楚。当我们连接到
浏览 0提问于2018-09-25得票数 1
回答已采纳
2回答
user', 'phone', array( "show_in_rest" => true到functions.php和我可以看到用户元数据使用http://example.com/wp-json/wp/v2/users/1
如何在WordPress之外使用WordPress创建/
浏览 0提问于2019-02-04得票数 0
1回答
我已经创建了一个插件,带有几个自定义的REST端点。但是,我无法让权限回调工作。当前用户总是“0”。我正在使用本地化脚本来发送当前版本。代码中,我修改了sync函数以返回nonce:// over ride the sync function to includethe Wordpress nonce.});
主干用于通用来自REST端点的项列表,并生
浏览 0提问于2020-10-01得票数 0
我有一个自定义端点,它只会返回一个测试字符串。我可以通过导航到mydomain.com/wp-json/mytools/v1/method/get_user_data来到达那个端点,它正确地返回我的测试字符串,但是,我希望能够使用Javascript到达那个端点,并且我看到wp自动处理身份验证,所以我应该能够使用这个方法获得登录的当前用户。我需要的是能够使用类似wp.api.mytools.method
浏览 0提问于2018-02-07得票数 0
回答已采纳
我有一个非Wordpress自定义PHP文件,我正在尝试提交一个Wordpress表单,该文件位于我的Wordpress插件文件夹中。在我的Wordpress表单中,我在表单标记之间包含了下面这一行:在自定义PHP文件中,我有以下代码:
requ
浏览 1提问于2017-07-23得票数 1
我用Nonce调用delete所有购物车项目端点。但我要拿回woocommerce_rest_cart_error错误。我已经尝试了添加项和删除项端点。两人在用现在触发的时候都很好。但是删除端点失败了。我已经签入了代码,并发现对于这个删除请求,get_cart_instance()函数返回的wc()为null。删除/cart/items/步骤来再现行为:
1.1.Trigger curl --请求删除带有X API-Nonce和JWT令牌2的 ,A
浏览 3提问于2020-12-27得票数 0
我为woocommerce定义了以下自定义端点:}我如何保护它,就像保护所有其他WooCommerce API的默认端点一样?(我不希望需要另一个auth插件来工作,而是使用标准的W
浏览 6提问于2019-10-10得票数 0
回答已采纳
2回答
我还尝试了使用authorization作为参数,以及h:authorization,以及大写字母"A“。
JSON插件--用get_nonce/?controller=auth&method=generate_auth_cookie生成nonce,使用auth/generate_auth_cookie和凭据生成一个使用D11的cookie,或者使用cookie和nonce作为X-WP-Nonce头的值。:%1]添
浏览 0提问于2019-08-06得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
