WordPress 自定义 JWT 授权和验证
像素鱼丸
2024-05-04
WordPress 主题开发
557
0

WordPress 自带的 RESTful API 内置的身份验证方法是 Cookie Authentication ,登录仪表板时,会生成cookie。为了防止CSRF,需要在请求的地址后面,加上一个 nonce 参数“_wpnonce”。

CSRF请参考:https://javascript.net.cn/article?id=683

nonce生成,参考:https://verytheme.com/archives/136

如果想使用JWT(JSON Web Token),官方建议使用插件 https://wordpress.org/plugins/jwt-authentication-for-wp-rest-api/

但是这个插件只能使用用户名和密码登录,二次开发使用手机号或者验证码登录的话是不可以的,所以自己写了一个大概,可以完成注册、登录和验证。

一,WordPress JWT 用户注册接口

/* -------------------------------------------------------------------------- *
 * 用户注册接口 http://test.com/wp-json/verytheme/v1/register
 */
add_action('rest_api_init', 'register_route_hook');
function register_route_hook()
{
    register_rest_route('verytheme/v1', 'register', [
        'methods'  => 'POST',
        'callback' => 'register_callback'
    ]);
}


function register_callback($request)
{
    //获取注册页面提交时候的表单数据
    $redirect_to = sanitize_user($_REQUEST['redirect_to']) ? sanitize_user($_REQUEST['redirect_to']) : home_url();
    if (!empty($_POST['reg_flag'])) {
        $error = '';
        $sanitized_user_login       = sanitize_user($_POST['user_login']);
        $user_website               = sanitize_user($_POST['website']);
        $user_description           = sanitize_user($_POST['description']);
        $user_nickname              = sanitize_user($_POST['nickname']);
        $user_email                 = apply_filters('user_registration_email', $_POST['user_email']);


        // 验证邮箱
        if ($user_email == '') {
            // 一些代码 ...
        } 
        // 验证用户名
        if ($sanitized_user_login == '') {
            // 一些代码 ...
        }
        //验证密码
        if (strlen($_POST['user_pass']) < 6) {
            // 一些代码 ...
        }
        if ($error == '') {
            //验证全部通过进入注册信息添加
            $display_name = empty($user_nickname) ? $sanitized_user_login : $user_nickname;
            $user_pass = $_POST['user_pass'];
            $user_id = wp_insert_user(array(
                'user_login'    => $sanitized_user_login,
                'user_pass'     => $user_pass,
                'nickname'      => $user_nickname,
                'display_name'  => $display_name,
                'user_email'    => $user_email,
                'user_url'      => $user_website, 'description'   => $user_description
            ));
            //意外情况判断,添加失败
            if (!$user_id) {
                // 一些代码 ...
            }
        }
    }
}

二,WordPress JWT 登录接口

/* -------------------------------------------------------------------------- *
 * JWT 登录 http://test.com/wp-json/verytheme/v1/login
 */
add_action('rest_api_init', 'login_route_hook');
function login_route_hook()
{
    register_rest_route('verytheme/v1', 'login', [
        'methods'  => 'POST',
        'callback' => 'login_callback'
    ]);
}


function login_callback($request)
{
    $json = $request->get_json_params();
    $username = $json['username'];
    $password = $json['password'];


    global $wpdb;
    $user = $wpdb->get_results($wpdb->prepare("SELECT * FROM wp_users WHERE user_login=%s",$username));
    if(!$user){
        return new WP_Error(
            'jwt_auth_bad_request',
            '用户名或者密码错误',
            array(
                'status' => 403
            )
        );
    }


    if(!wp_check_password($password, $user[0]->user_pass)){
        return new WP_Error(
            'jwt_auth_bad_request',
            '用户名或者密码错误',
            array(
                'status' => 403
            )
        );
    }


    $res['token'] = createToken(1);
    $res['user']  = $user[0];


    return $res;
}



require_once get_template_directory() . "/extends/php-jwt/src/JWT.php";
require_once get_template_directory() . "/extends/php-jwt/src/BeforeValidException.php";
require_once get_template_directory() . "/extends/php-jwt/src/ExpiredException.php";
require_once get_template_directory() . "/extends/php-jwt/src/SignatureInvalidException.php";

三,WordPress JWT 生成JWT Token

/**
 * 生成JWT Token
 */
function createToken($user_id)
{
    $time                    = time();
    $payload['iat']          = $time;        // 签发时间
    $payload['exp']          = $time + 60*1000;   // 过期时间
    $payload['nbf']          = $time;        // 生效时间
    $payload['user_id']      = $user_id;  // 用户 ID
    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';
    $token  = Firebase\JWT\JWT::encode($payload, $key);
    return $token;
}

四,验证JWT

默认情况下,筛选器使用此选项从请求的cookie(如果可用)中确定当前用户。所有的验证方法钩子都会调用determine_current_user过滤器,包括wp_validate_auth_cookie()。在生成JWT的时候,我们把user_id放入了JWT的Payload中,现在也可以在determine_current_user取出来,像中间价一样。

add_filter('determine_current_user', 'determine_current_user_callback' );
function determine_current_user_callback($user){

    $auth = isset($_SERVER['HTTP_AUTHORIZATION']) ? $_SERVER['HTTP_AUTHORIZATION'] : false;


    list($token) = sscanf($auth, 'Bearer %s');
    if (!$token) {
        // echo "fuck";
        return 0;
    }


    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';


    try {
        $data = Firebase\JWT\JWT::decode($token, $key, array('HS256'));
    } catch(Exception $e) {
        // echo 'Message: ' .$e->getMessage();
        return 0;
    }


    return $data->user_id ? $data->user_id : 0;
}
文章版权声明
RESTful API
收藏
打赏
WordPress 常用的路径
上一篇
WP_Query 函数
下一篇

发表评论

热门推荐

WordPress 设置菜单

WordPress 设置菜单

一,WordPress 使用 register_nav_menus() 设置菜单位置 导航菜单注册函数 register_nav_menus()在主题的 functions.php 中添加: 上面注册了两个菜单位置,其中 ‘header_main’ 和 ‘footer_bottom’ 分别是这两个菜单的“键key”,后面的值是菜单的标题,会在 “外观 […]
WordPress 主题开发
像素鱼丸
2023-06-25
1.5千 0 0
get_categories() 获取所有分类

get_categories() 获取所有分类

方法一,官方提供的函数:get_categories($args) 通过函数get_categories()就可以输出 WordPress 获取所有分类列表 参数说明:type:(字符)post和link 其中link在新版3.0以后已被弃用。child_of:(整数)仅显示标注了编号的分类的子类。该参数无默认值。使用该参数时应将hide_empty参数设为falseparent:(整数)只显示某 […]
WordPress 主题开发
像素鱼丸
2023-06-28
1.1千 0 0
WordPress 文章按照自定义字段排序

WordPress 文章按照自定义字段排序

在 WordPress 中,如果你想通过代码在文章编辑页添加一个自定义字段 list_order,并在使用 WP_Query 调用文章列表时根据这个字段的值进行排序,可以按照以下步骤操作: ✅ 步骤一:在文章编辑页添加自定义字段(list_order) 你可以使用 add_meta_box() 函数在文章编辑页面中添加一个自定义字段。 // 在 functions.php 或自定义插件中添加 fu […]
WordPress 主题开发
像素鱼丸
11-18
122 0 0
WordPress JWT 教程2: 完成一个更新用户信息的接口

WordPress JWT 教程2: 完成一个更新用户信息的接口

当然可以!下面是一个 安全、完整 的 WordPress REST API 接口示例,用于 让用户修改自己的信息(如昵称、邮箱等),并且在接口内部 通过 JWT 验证后自动获取当前用户的 ID,确保用户只能修改自己的资料。 ✅ 前提:你已经按照上一回答配置好了 firebase/php-jwt 并能成功验证 Token。 ✅ 目标 路由:POST /wp-json/my-jwt/v1/update […]
WordPress 主题开发
像素鱼丸
12-31
124 0 0
WordPress Customizer 自定义器控件类型

WordPress Customizer 自定义器控件类型

当然可以!在 WordPress Customizer 中,除了基础的 text 和 email 控件外,还支持多种内置控件类型(Control Types)。下面为你整理 常用控件类型 + 完整代码示例,你可以直接复制到主题的 functions.php 中使用。 ✅ 前提:所有代码都挂载到 customize_register 钩子 add_action( 'customize_registe […]
WordPress 主题开发
像素鱼丸
12-09
175 0 0
WordPress 输入安全

WordPress 输入安全

消毒是清理或过滤您的输入数据的过程。 无论数据来自用户还是API或Web服务,当您不知道期望或不想严格的数据验证时,您都可以使用清除信息。 消除数据的最简单方法是使用内置的WordPress功能。 消毒系统的帮助函数提供了一种有效的方式来确保您最终获得安全的数据,并且您需要尽可能少的努力: sanitize_email() sanitize_file_name() sanitize_html_cl […]
WordPress 主题开发
像素鱼丸
2024-05-04
505 0 0
像素鱼丸
147 文章
0 评论
4 喜欢
热门
最新文章
详解 WordPress 的评论设置

详解 WordPress 的评论设置

好的,我们来详细梳理并总结 WordPress 中关于文章评论的两个核心控制层级:全局设置和单篇设置。理解这两者的关系(优先级)是管理网站评论的关键。 1. 全局设置 (Global Settings) —— 网站的“默认规则” 这是整个网站评论系统的总开关和默认行为准则。它决定了新发布的文章默认是什么样子的。 位置:WordPress 后台仪表盘 -> 设置 (Settings) -> […]
WordPress 使用教程
像素鱼丸
3小时前
11 0 0
wp_handle_comment_submission 函数

wp_handle_comment_submission 函数

wp_handle_comment_submission() 是 WordPress 中用于处理评论提交的核心函数之一。它通常在用户提交评论时被调用,负责验证和处理评论数据,并最终将评论插入到数据库中。 ✅ 函数作用 wp_handle_comment_submission() 的主要功能是: 验证用户提交的评论数据(如评论内容、用户名、邮箱等) 检查是否为垃圾评论(通过 Akismet 或其他过 […]
WordPress 主题开发
像素鱼丸
1天前
15 0 0
Mirage 主题 v2.89.0 发布

Mirage 主题 v2.89.0 发布

Mirage 主题 v2.89.0 发布 feat 懒加载图片增加灰色背景颜色 refactor 移除一些无用的js文件 fix 优化卡片列表样式 feat 如果设置里删除logo,就直接显示网站名称 fix 修复pc下拉菜单宽度的一个样式bug fix 修复未登录用户取消喜欢时产生的一个错误 fix 优化 wp_vt_star 表结构 下载地址:https://gitee.com/vthemec […]
动态
像素鱼丸
2天前
37 0 0
WordPress set_transient()使用方法和实现

WordPress set_transient()使用方法和实现

set_transient() 是 WordPress 中用于设置临时数据的函数,它允许你将数据存储在缓存中,这些数据会在指定的时间后自动过期。它是 WordPress 提供的 transient API 的一部分,常用于缓存数据库查询、API 响应或其他计算密集型操作的结果。 一、基本概念 1. 什么是 Transient? Transient 是 WordPress 中的一种缓存机制,类似于 […]
WordPress 主题开发
像素鱼丸
01-06
131 0 0
标签
#RESTful API #插件 #woocomerce #开源 #免费 #AI 生成 #最新 #官方主题 #博客 #即将上线 #River #Land #River-App
生成中...
扫描二维码
扫描二维码
用户登录