JWT Authentication for WP REST API

Beschrijving

Breidt de WP REST API uit met JSON web tokens authenticatie als authenticatiemethode.

JSON web tokens zijn een open, industriestandaard RFC 7519 methode om claims tussen twee partijen veilig weer te geven.

Ondersteuning en aanvragen graag in GitHub: https://github.com/Tmeister/wp-api-jwt-auth

VEREISTEN

WP REST API V2

Deze plugin is bedacht om de functies van de WP REST API V2 plugin uit te breiden en is daar natuurlijk bovenop gebouwd.

Dus, om de wp-api-jwt-auth te gebruiken moet je WP REST API installeren en activeren.

PHP

Minimum PHP versie: 7.4.0

PHP HTTP autorisatie header inschakelen

De meeste shared hosting heeft de HTTP authorization header standaard uitgeschakeld.

Om deze optie in te schakelen moet je je .htaccess bestand bewerken en het volgende toevoegen

RewriteEngine on
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

WPENGINE

Om deze optie in te schakelen moet je je .htaccess bestand bewerken en het volgende toevoegen

Bekijk https://github.com/Tmeister/wp-api-jwt-auth/issues/1

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

CONFIGURATIE

De geheime sleutel configureren

Het JWT heeft een geheime sleutel nodig om het token te ondertekenen. Deze geheime sleutel moet uniek zijn en mag nooit worden onthuld.

Om de geheime sleutel toe te voegen bewerk je wp-config.php bestand en voeg een nieuwe constante toe genaamd JWT_AUTH_SECRET_KEY

define('JWT_AUTH_SECRET_KEY', 'your-top-secret-key');

Je kunt een string gebruiken vanaf hier https://api.wordpress.org/secret-key/1.1/salt/

Configureren van COR’s ondersteuning

De wp-api-jwt-auth plugin heeft de optie om CORs ondersteuning te activeren.

Om de CORs ondersteuning in te schakelen bewerk je wp-config.php bestand en voeg een nieuwe constante toe genaamd JWT_AUTH_CORS_ENABLE

define('JWT_AUTH_CORS_ENABLE', true);

Activeer tenslotte de plugin in je wp beheer.

Namespace en endpoints

Wanneer de plugin wordt geactiveerd, wordt een nieuwe namespace toegevoegd

/jwt-auth/v1

Ook worden twee nieuwe endpoints toegevoegd aan deze namespace

Endpoint | HTTP Verb
/wp-json/jwt-auth/v1/token | POST
/wp-json/jwt-auth/v1/token/validate | POST

GEBRUIK

/wp-json/jwt-auth/v1/token

Dit is het ingangspunt voor de JWT authenticatie.

Valideert de gebruikersgegevens, gebruikersnaam en wachtwoord, en stuurt een token terug voor gebruik in een toekomstig verzoek aan de API als de authenticatie correct is, of een fout als de authenticatie mislukt.

Voorbeeldaanvraag met AngularJS

( function() {

  var app = angular.module( 'jwtAuth', [] );

  app.controller( 'MainController', function( $scope, $http ) {

    var apiHost = 'http://yourdomain.com/wp-json';

    $http.post( apiHost + '/jwt-auth/v1/token', {
        username: 'admin',
        password: 'password'
      } )

      .then( function( response ) {
        console.log( response.data )
      } )

      .catch( function( error ) {
        console.error( 'Error', error.data[0] );
      } );

  } );

} )();

Succesvolle reactie van de server

{
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC9qd3QuZGV2IiwiaWF0IjoxNDM4NTcxMDUwLCJuYmYiOjE0Mzg1NzEwNTAsImV4cCI6MTQzOTE3NTg1MCwiZGF0YSI6eyJ1c2VyIjp7ImlkIjoiMSJ9fX0.YNe6AyWW4B7ZwfFE5wJ0O6qQ8QFcYizimDmBy6hCH_8",
    "user_display_name": "admin",
    "user_email": "admin@localhost.dev",
    "user_nicename": "admin"
}

Fout reactie van de server

{
    "code": "jwt_auth_failed",
    "data": {
        "status": 403
    },
    "message": "Invalid Credentials."
}

Zodra je het token hebt, moet je het ergens in je applicatie opslaan, bijvoorbeeld in een cookie of met behulp van localstorage.

Vanaf dit punt moet je dit token doorgeven aan elke API aanroep

Voorbeeldoproep met de autorisatie header in AngularJS

app.config( function( $httpProvider ) {
  $httpProvider.interceptors.push( [ '$q', '$location', '$cookies', function( $q, $location, $cookies ) {
    return {
      'request': function( config ) {
        config.headers = config.headers || {};
        //Assume that you store the token in a cookie.
        var globals = $cookies.getObject( 'globals' ) || {};
        //If the cookie has the CurrentUser and the token
        //add the Authorization header in each request
        if ( globals.currentUser && globals.currentUser.token ) {
          config.headers.Authorization = 'Bearer ' + globals.currentUser.token;
        }
        return config;
      }
    };
  } ] );
} );

De wp-api-jwt-auth onderschept elke oproep naar de server en zoekt naar de autorisatieheader. Als de autorisatieheader aanwezig is, probeert hij het token te decoderen en stelt hij de gebruiker in volgens de gegevens die erin zijn opgeslagen.

Als het token geldig is, gaat de API aanroep flow door zoals altijd.

Voorbeeld headers

POST /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_s9.B5f-4.1JqM

FOUTEN

Als het token ongeldig is, wordt een foutmelding gegeven. Hier volgen enkele voorbeelden van fouten.

Ongeldige credentials

[
  {
    "code": "jwt_auth_failed",
    "message": "Invalid Credentials.",
    "data": {
      "status": 403
    }
  }
]

Ongeldige handtekening

[
  {
    "code": "jwt_auth_invalid_token",
    "message": "Signature verification failed",
    "data": {
      "status": 403
    }
  }
]

Verlopen Token

[
  {
    "code": "jwt_auth_invalid_token",
    "message": "Expired token",
    "data": {
      "status": 403
    }
  }
]

/wp-json/jwt-auth/v1/token/validate

Dit is een eenvoudig helper endpoint om een token te valideren; je hoeft alleen een POST aanvraag te verzenden met de autorisatie header.

Geldig token reactie

{
  "code": "jwt_auth_valid_token",
  "data": {
    "status": 200
  }
}

BESCHIKBARE HOOKS

De wp-api-jwt-auth is dev vriendelijk en heeft vijf filters beschikbaar om de standaardinstellingen te overschrijven.

jwt_auth_cors_allow_headers

Met de jwt_auth_cors_allow_headers kan je de beschikbare headers wijzigen wanneer de CORs ondersteuning is ingeschakeld.

Standaardwaarde:

'Access-Control-Allow-Headers, Content-Type, Authorization'

jwt_auth_not_before

Met de jwt_auth_not_before kan je de nbf waarde te wijzigen voordat het token wordt aangemaakt.

Standaardwaarde:

Creation time - time()

jwt_auth_expire

Met de jwt_auth_expire kan je de waarde exp voordat het token wordt aangemaakt.

Standaardwaarde:

time() + (DAY_IN_SECONDS * 7)

jwt_auth_token_before_sign

Met de jwt_auth_token_before_sign kan je alle tokengegevens wijzigen voordat ze worden gecodeerd en ondertekend.

Standaardwaarde

<?php
$token = array(
    'iss' => get_bloginfo('url'),
    'iat' => $issuedAt,
    'nbf' => $notBefore,
    'exp' => $expire,
    'data' => array(
        'user' => array(
            'id' => $user->data->ID,
        )
    )
);

jwt_auth_token_before_dispatch

Met de jwt_auth_token_before_dispatch kan je toestaan de gehele reactie array wijzigen voordat deze naar de client wordt verzonden.

Standaardwaarde:

<?php
$data = array(
    'token' => $token,
    'user_email' => $user->data->user_email,
    'user_nicename' => $user->data->user_nicename,
    'user_display_name' => $user->data->display_name,
);

jwt_auth_algoritme

Met jwt_auth_algorithm kan je het ondertekeningsalgoritme wijzigen.

Standaardwaarde:

<?php
$token = JWT::encode(
    apply_filters('jwt_auth_token_before_sign', $token, $user),
    $secret_key,
    apply_filters('jwt_auth_algorithm', 'HS256')
);

// ...

$token = JWT::decode(
    $token,
    new Key($secret_key, apply_filters('jwt_auth_algorithm', 'HS256'))
);

Testen

Ik heb een kleine app gemaakt om de basisfunctionaliteit van de plugin te testen; je kunt de app krijgen en alle details lezen op de JWT-Client repo