WordPress 自定义 JWT 授权和验证
像素鱼丸
2024-05-04
WordPress 主题开发
582
0

WordPress 自带的 RESTful API 内置的身份验证方法是 Cookie Authentication ,登录仪表板时,会生成cookie。为了防止CSRF,需要在请求的地址后面,加上一个 nonce 参数“_wpnonce”。

CSRF请参考:https://javascript.net.cn/article?id=683

nonce生成,参考:https://verytheme.com/archives/136

如果想使用JWT(JSON Web Token),官方建议使用插件 https://wordpress.org/plugins/jwt-authentication-for-wp-rest-api/

但是这个插件只能使用用户名和密码登录,二次开发使用手机号或者验证码登录的话是不可以的,所以自己写了一个大概,可以完成注册、登录和验证。

一,WordPress JWT 用户注册接口

/* -------------------------------------------------------------------------- *
 * 用户注册接口 http://test.com/wp-json/verytheme/v1/register
 */
add_action('rest_api_init', 'register_route_hook');
function register_route_hook()
{
    register_rest_route('verytheme/v1', 'register', [
        'methods'  => 'POST',
        'callback' => 'register_callback'
    ]);
}


function register_callback($request)
{
    //获取注册页面提交时候的表单数据
    $redirect_to = sanitize_user($_REQUEST['redirect_to']) ? sanitize_user($_REQUEST['redirect_to']) : home_url();
    if (!empty($_POST['reg_flag'])) {
        $error = '';
        $sanitized_user_login       = sanitize_user($_POST['user_login']);
        $user_website               = sanitize_user($_POST['website']);
        $user_description           = sanitize_user($_POST['description']);
        $user_nickname              = sanitize_user($_POST['nickname']);
        $user_email                 = apply_filters('user_registration_email', $_POST['user_email']);


        // 验证邮箱
        if ($user_email == '') {
            // 一些代码 ...
        } 
        // 验证用户名
        if ($sanitized_user_login == '') {
            // 一些代码 ...
        }
        //验证密码
        if (strlen($_POST['user_pass']) < 6) {
            // 一些代码 ...
        }
        if ($error == '') {
            //验证全部通过进入注册信息添加
            $display_name = empty($user_nickname) ? $sanitized_user_login : $user_nickname;
            $user_pass = $_POST['user_pass'];
            $user_id = wp_insert_user(array(
                'user_login'    => $sanitized_user_login,
                'user_pass'     => $user_pass,
                'nickname'      => $user_nickname,
                'display_name'  => $display_name,
                'user_email'    => $user_email,
                'user_url'      => $user_website, 'description'   => $user_description
            ));
            //意外情况判断,添加失败
            if (!$user_id) {
                // 一些代码 ...
            }
        }
    }
}

二,WordPress JWT 登录接口

/* -------------------------------------------------------------------------- *
 * JWT 登录 http://test.com/wp-json/verytheme/v1/login
 */
add_action('rest_api_init', 'login_route_hook');
function login_route_hook()
{
    register_rest_route('verytheme/v1', 'login', [
        'methods'  => 'POST',
        'callback' => 'login_callback'
    ]);
}


function login_callback($request)
{
    $json = $request->get_json_params();
    $username = $json['username'];
    $password = $json['password'];


    global $wpdb;
    $user = $wpdb->get_results($wpdb->prepare("SELECT * FROM wp_users WHERE user_login=%s",$username));
    if(!$user){
        return new WP_Error(
            'jwt_auth_bad_request',
            '用户名或者密码错误',
            array(
                'status' => 403
            )
        );
    }


    if(!wp_check_password($password, $user[0]->user_pass)){
        return new WP_Error(
            'jwt_auth_bad_request',
            '用户名或者密码错误',
            array(
                'status' => 403
            )
        );
    }


    $res['token'] = createToken(1);
    $res['user']  = $user[0];


    return $res;
}



require_once get_template_directory() . "/extends/php-jwt/src/JWT.php";
require_once get_template_directory() . "/extends/php-jwt/src/BeforeValidException.php";
require_once get_template_directory() . "/extends/php-jwt/src/ExpiredException.php";
require_once get_template_directory() . "/extends/php-jwt/src/SignatureInvalidException.php";

三,WordPress JWT 生成JWT Token

/**
 * 生成JWT Token
 */
function createToken($user_id)
{
    $time                    = time();
    $payload['iat']          = $time;        // 签发时间
    $payload['exp']          = $time + 60*1000;   // 过期时间
    $payload['nbf']          = $time;        // 生效时间
    $payload['user_id']      = $user_id;  // 用户 ID
    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';
    $token  = Firebase\JWT\JWT::encode($payload, $key);
    return $token;
}

四,验证JWT

默认情况下,筛选器使用此选项从请求的cookie(如果可用)中确定当前用户。所有的验证方法钩子都会调用determine_current_user过滤器,包括wp_validate_auth_cookie()。在生成JWT的时候,我们把user_id放入了JWT的Payload中,现在也可以在determine_current_user取出来,像中间价一样。

add_filter('determine_current_user', 'determine_current_user_callback' );
function determine_current_user_callback($user){

    $auth = isset($_SERVER['HTTP_AUTHORIZATION']) ? $_SERVER['HTTP_AUTHORIZATION'] : false;


    list($token) = sscanf($auth, 'Bearer %s');
    if (!$token) {
        // echo "fuck";
        return 0;
    }


    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';


    try {
        $data = Firebase\JWT\JWT::decode($token, $key, array('HS256'));
    } catch(Exception $e) {
        // echo 'Message: ' .$e->getMessage();
        return 0;
    }


    return $data->user_id ? $data->user_id : 0;
}
文章版权声明
RESTful API
收藏
打赏
WordPress 常用的路径
上一篇
WP_Query 函数
下一篇

发表评论

注册不是必须的

推荐

WordPress 添加文章自定义字段

WordPress 添加文章自定义字段

有时候需要给文章添加一些自定义字段,比如、价格和尺寸等自定义字段,参考如下代码。 /** * 文章编辑页-添加自定义字段 */ add_action('add_meta_boxes', 'flame_add_custom_box'); function flame_add_custom_box() { //需要添加自定义字段的文章类型 array('post','page','audio'); $ […]
WordPress 主题开发
像素鱼丸
11-22
140 0 0
Woocomerce 模板开发基础

Woocomerce 模板开发基础

WooCommerce 默认模板文件位于其插件目录内的 templates 文件夹中。当你激活 WooCommerce 并且没有在你的主题中覆盖这些模板时,WooCommerce 会使用这些默认模板。 对于 WooCommerce 页面(比如商店首页、产品分类页面、单个产品页面等),以下是几个关键的默认模板文件: 商店首页 (archive-product.php): 这是显示所有产品的主模板文件 […]
WordPress 主题开发 woocomerce
像素鱼丸
08-20
435 0 0
WordPress Customizer 自定义器

WordPress Customizer 自定义器

在 WordPress 中使用 Customizer(自定义器) 是一种直观、实时预览的方式来修改网站的外观和部分功能,而无需直接编辑代码。以下是详细的使用方法: 一、进入 Customizer 方法 1:通过后台仪表盘 登录 WordPress 后台(通常是 your-site.com/wp-admin)。 在左侧菜单中点击 “外观” > “自定义”(Appearance → Custom […]
WordPress 主题开发
像素鱼丸
12-09
206 0 0
WordPress 插件开发

WordPress 插件开发

什么是 WordPress 插件 ? 插件( Plugins )是如何与 WordPress 交互的 WordPress 为插件提供了多种丰富的 APIs。每一种 API( 应用程序接口 )使插件和 WordPress 以不同的方式交互。下面是 WordPress 提供的主要 APIs 以及他们的功能列表: 插件: 给插件提供一系列的钩子( hooks )来使用 WordPress 的相关部分。W […]
WordPress 主题开发 插件
像素鱼丸
2024-05-04
579 0 0
WordPress 自定义模板路径

WordPress 自定义模板路径

当需要访问一个路径调用相应的模板时,可以使用下面的方法:
WordPress 主题开发 未分类
像素鱼丸
2024-05-10
610 0 0
vt-dialog 主题自带的对话框插件

vt-dialog 主题自带的对话框插件

简介: 这是主题中的一个对话框插件,主要包含两个文件,dialog.js 和 dialog.css 。 https://gitee.com/vthemecn/miragev/blob/main/assets/css/src/common/dialog.css https://gitee.com/vthemecn/miragev/blob/main/assets/js/src/dialog.js & […]
WordPress 主题开发
像素鱼丸
05-16
436 0 0
像素鱼丸
150 文章
0 评论
4 喜欢
热门
最新文章
宝塔 Nginx 拦截了 WordPress 返回 404 的状态

宝塔 Nginx 拦截了 WordPress 返回 404 的状态

REST api 接口中,有段代码返回404,但是没有正常返回错误json: $wp_response = new \WP_REST_Response(array('error'=>'没有找到数据')); $wp_response->set_status(404); return $wp_response; 返回内容是: <html> <head><tit […]
WordPress 使用教程
像素鱼丸
2天前
19 0 0
Mirage 主题 v2.93.0 发布

Mirage 主题 v2.93.0 发布

更新内容: refactor 移除图片高宽比开关 refactor 移除全局的TOC生成开关 refactor 优化 header.php 中的seo模块和样式覆盖 feat 主题启用的时候,移除非当前主题注册的小工具 fix 修复分类小工具的bug feat 管理员打开后台,检查最当前设置首页布局的模块,如果缺少最新模块,就添加到隐藏模块列表中 fix 优化链接卡片样式 fix 优化热门文章样式 […]
动态
像素鱼丸
9天前
53 0 0
如何使用 WordPress Setting API

如何使用 WordPress Setting API

使用 WordPress 的 Setting API 是在插件或主题中创建和管理设置页面的标准方式。它提供了一种结构化、安全的方式来保存和获取用户配置的选项。 ✅ 一、Setting API 简介 WordPress 的 Setting API 允许你: 创建设置页面(Settings Page) 注册设置字段(Settings Field) 验证和保存设置数据 使用表单提交来更新设置 ✅ 二、基 […]
WordPress 主题开发
像素鱼丸
18天前
67 0 0
详解 WordPress 的评论设置

详解 WordPress 的评论设置

好的,我们来详细梳理并总结 WordPress 中关于文章评论的两个核心控制层级:全局设置和单篇设置。理解这两者的关系(优先级)是管理网站评论的关键。 1. 全局设置 (Global Settings) —— 网站的“默认规则” 这是整个网站评论系统的总开关和默认行为准则。它决定了新发布的文章默认是什么样子的。 位置:WordPress 后台仪表盘 -> 设置 (Settings) -> […]
WordPress 使用教程
像素鱼丸
20天前
71 0 0
标签
#RESTful API #插件 #woocomerce #开源 #免费 #AI 生成 #最新 #官方主题 #博客 #即将上线 #River #Land #River-App
生成中...
扫描二维码
扫描二维码
用户登录