Birthday Sale! Up to 40% off unlimited courses & creative assets Birthday Sale! Save up to 40%!
Advertisement
  1. Code
  2. WordPress
Code

REST API WP : Configurazione e utilizzo del Sistema di Autenticazione di base

by
Difficulty:BeginnerLength:MediumLanguages:
This post is part of a series called Introducing the WP REST API.
Introducing the WP REST API
WP REST API: Setting Up and Using OAuth 1.0a Authentication

Italian (Italiano) translation by Piergiorgio Sansone (you can also view the original English article)

Nella parte introduttiva di questa serie, faremo un breve riassunto sull'archirtettura REST e come può aiutarci a creare applicazioni migliori. Vedremo poi la storia delle API REST in WordPress ed introdurremo l'ultima nata : il plugin WP API REST. Configureremo un ambiente di lavoro di base per i test del plugin, dove installeremo il plugin ed il client HTTP per l'invio delle richieste o la verifica delle risposte dal server.

In questa parte della serie, configureremo sul server un protocollo di autenticazione di base per inviare le richieste di autenticazione per diverse attività tramite l'API REST.

Per essere precisi, in questa parte :

  • Guarderemo i vari metodi di autenticazione disponibili quando si utilizza il plugin API REST
  • Imposteremo l'autenticazione di base sul server
  • Invieremo una richiesta autenticata tramite Postman
  • Invieremo una richiesta autenticata tramite il framework JavaScript
  • Invieremo una richiesta autenticata utlizzando la linea comando
  • Invieremo una richiesta autenticata utilizzando l' API HTTP di WP.

Ma prima diamo un'occhiata all'autenticazione.

Che cos'è l'Autenticazione?

Nella sua definizione più elementare, l'autenticazione è il processo di determinazione dell'identità di una persona.

Secondo Webopedia:

Il processo di identificazione di un individuo, di solito basato su un nome utente e una password. Nei sistemi di sicurezza, l'autenticazione è distinta dalla autorizzazione, che è il processo di dare gli individui accesso agli oggetti di sistema basati sulla loro identità. L'autenticazione assicura semplicemente che l'individuo è colui o lei che sostiene di essere, ma non dice nulla circa i diritti di accesso dell'individuo.

Quando si parla di API REST di WP, un utente con privilegi sufficienti può eseguire diverse attività CRUD come la creazione di un post, recupero di tutti gli utenti del sito o revocare i diritti di un utente. Ma per tutte queste azioni uno deve provare la sua identità al server, dove l'autenticazione gioca la sua parte.

Senza un'autenticazione appropriata, sarebbe molto semplice per chiunque avesse intenzioni maliziose, pasticciare con il sito,quindi l'autenticazione fornisce un livello di sicurezza necessario per limitare i diritti di un utente e le azioni che possono essere eseguite.

Autenticazione con l'API REST di WP

L'API REST di WP offre tre opzioni per l'autenticazione, ognuno inteso per uno scopo specifico. Queste opzioni sono:

  • autenticazione di base
  • Autenticazione OAuth
  • cookie di autenticazione

Adesso, il modello di autenticazione nativa di WordPress è l'autenticazione tramite i cookie. Questo è come WordPress determina l'identità di un utente e quali azioni può compiere. Per utilizzare  con l'API REST di WP gli altri due metodi di autenticazione elencati sopra, abbiamo bisogno di installare i loro rispettivi plugin forniti dal team di WP REST API disponibili su GitHub. Speriamo che questi due metodi siano inclusi anche nel nucleo di WordPress con lo stesso plugin API REST.

L'autenticazione di base è il tipo più semplice di autenticazione HTTP, in cui le credenziali di accesso vengono inviate insieme alle intestazioni della richiesta.

Come funziona l'autenticazione di base.

Nell'autenticazione di base, il client richiede URL che richiede l'autenticazione Il server richiede il client (o user agent) per autenticarsi inviando un codice 401-non autorizzato. Il client, in cambio, invia nuovamente la stessa richiesta ma con le credenziali di accesso come stringa  nella codifica base64 nel formato username: password. Questa stringa viene inviata nel campo di intestazione di autorizzazione come indicato di seguito:

Così se il nome utente fosse tutsplus e la password fosse 123456, il campo di intestazione seguente avrebbe inviato con la richiesta:

Poiché la stringa con codifica base64 può essere facilmente decodificata, questo metodo è altamente insicuro per essere utilizzato su una rete aperta. Quindi questo metodo deve essere utilizzato solo per scopi di debug e sviluppo quando la connessione tra il server e il client è attendibile.

L'installazione del Plugin

Come accennato in precedenza, il plugin è disponibile su GitHub dal team di API REST di WP. Quindi tutto quello che dobbiamo fare è quello di clonarlo nella nostra directory dei plugin e attivarlo.

Dirigetevi sulla vostra directory /wp-content/plugins/ e  clona il plugin per cui potrebbe essere necessario eseguire il comando sudo per acqusire i diritti . A tale scopo, eseguire le operazioni seguenti:

Il terminale non ti chiederà la password. Inserisci la tua password e lasciare che il repository essere clonato in una directory.

Dopo la clonazione del plugin, attivatelo andando su WP Admin. Metodo di autenticazione di base HTTP ora può essere utilizzato con il plugin API REST.

L'invio di richieste autenticate tramite Postman

La maggior parte dei client HTTP supporta l'invio di una richiesta utilizzando il metodo di autenticazione di base in modo nativo, e così fa Postman per Chrome. Per inviare una richiesta autenticata, vai alla scheda autorizzazione sotto la barra degli indirizzi:

Authorization Tab

Ora seleziona la funzionalità Basic Auth dal menu a discesa. Vi si chiederà di immettere il nome utente e la password. Dopo aver immesso le credenziali, fare clic sul pulsante di richiesta di aggiornamento.

Basic Authentication

Dopo l'aggiornamento dell'opzione di autenticazione, si vedrà un cambiamento nella scheda intestazioni, ora include un campo di intestazione contenente la stringa codificata di username e password:

Authorization Header

Questo è tutto su come impostare l'autenticazione di base con Postman Ora è possibile inviare una richiesta di test come l'eliminazione di un post, che richiede l'autenticazione:

Dove c'è dev-server il percorso è del server di sviluppo.

Se tutto è andato bene, il server restituirà un codice stato 200 OK, che indica che è stato eliminato il post con un id di 52:

Post created

Non preoccuparti per la richiesta che abbiamo fatto qui — ne parleremo in modo più dettagliato nelle parti future della serie.

L'invio di richieste autenticate dalla riga di comando

Possiamo usare la riga di comando per inviare le richieste autenticate utilizzando questo metodo. Si consideri il seguente ricciolo equivalente della richiesta di cui sopra:

La seguente risposta avrebbe inviata dal server, che indica che tutto è OK:

L'opzione  --richiesta specifica il metodo di richiesta da utilizzare, che nel nostro caso è DELETE.s Potreste anche usare -X come alternativa all'opzione --request

L'opzione -I prende solo le intestazioni HTTP inviate dal server L'alternativa a - I è l'opzione --head.

L'invio di richieste autenticate utilizzando JavaScript

Se  utilizzate un framework JavaScript lato client, come ad esempio jQuery, per interagire in remoto con un sito WordPress con la WP API attivata, è possibile inviare le intestazioni di autorizzazione a una richiesta AJAX. Considerate la seguente richiesta di DELETE inviata attraverso il metodo jQuery.ajax() .

Dove Base64 è un oggetto utilizzato per la codifica e decodifica una stringa base64. È definito come segue, prima la chiamata al metodo sopra citato  jQuery.ajax() .

L'ho trovato su StackOverflow, ed è un modo trasversale del browser di codifica e decodifica di una stringa base64 in JavaScript.

Nella richiesta sopra citata impostiamo l'intestazione dell'Autorizzazione utilizzando il metodo setRequestHader() per l'oggetto passato xhr come argomento per il metodo beforeSend().

Oltre la richiesta di cui sopra, le intestazioni dell' Access-Control-Allow-Headers  dovrebbero consentire l'accesso al campo di autorizzazione sul server. Questo può essere abilitato aggiungendo la seguente riga di codice nel file. htaccess di WordPress:

La richiesta di cui sopra, al termine dell'operazione, visualizzerà la risposta nella console del browser come mostrato nella figura sottostante:

Server response

Il codice di risposta con stato 200 restituito dal server indica che il post con un id di 52 è stato eliminato con successo.

L'invio di richieste autenticate tramite API HTTP WP

Se si interagisce in remoto con un altro sito WordPress dalla vostra installazione di WordPress, il modo più appropriato per inviare richieste HTTP è l'API HTTP di WP.

Considerate il codice seguente che invia una richiesta di DELETE ad un'altra installazione di WordPress con WP API REST e attivata l'autenticazione di base:

Qui usiamo la funzione wp_remote_request() che accetta due argomenti:

  • $url: l'URL della richiesta
  • $args: una matrice di argomenti aggiuntivi da passare

la variabile $method definita nella matrice $args è DELETE, e dovrebbe essere sempre scritta in stampatello. La matrice di $headers prende coppie chiave/valore di tutti i campi di intestazione da passare con la richiesta. Abbiamo passato la chiave di autorizzazione con una stringa di nome utente e la password con codificata base64 come valore.

La risposta potrebbe essere salvata nella variabile $wp_delete_post_response, che possiamo usare con le funzioni wp_remote_retrieve_response_code() e wp_remote_retrieve_response_message(). Queste due funzioni sono funzioni di supporto dell'API HTTP di WP, e ne estraggono rispettivamente il codice di stato e il messaggio di stato dalla risposta.

Se il post è eliminato con successo dalla richiesta di cui sopra, verrà restituito fuori il seguente testo:

Questo è tutto circa il metodo di autenticazione di base supportato dall'API REST di WP. Useremo lo stesso metodo di autenticazione nelle nostre parti future per il recupero, la creazione o la modifica dei dati grazie alla sua semplicità, a meno che non diversamente indicato.

Conclusione

In questa parte della serie, abbiamo esaminato attentamente il metodo di autenticazione HTTP di base supportato dall'API REST di WP. Tuttavia, non dovrebbe essere usato in ambienti di produzione live perchè la stringa con codificata base64 potrebbe essere  decodificata e le credenziali potrebbero cadere nelle mani sbagliate.

Dopo aver correttamente impostato e testato il metodo di autenticazione di base HTTP, siamo pronti a fare un passo ulteriore e impostare un modo più sofisticato di autenticazione — il metodo OAuth 1.0 a. Lo faremo nella parte successiva della serie, quindi rimanete sintonizzati!

Advertisement
Advertisement
Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.