it-swarm.com.de

Grundlegende Auth WordPress REST API-Dilemma

Heute habe ich Basic Auth für die WordPress REST API getestet und es hat perfekt funktioniert. Ich habe jedoch gehört, dass dies eine gefährliche Art der Authentifizierung ist. Das ist verständlich, da die Leute in JS-Dateien usw. schauen können.

Ich habe jedoch eine externe App, in der der Benutzer seine Anmeldeinformationen in einem Formular eingeben soll (genau wie auf einer normalen WordPress-Site). Dann wird der Benutzer in die App eingeloggt und kann Kommentare unter seinem Benutzernamen posten. Ich habe nicht vor, sensible Daten preiszugeben. Außerdem möchte ich nur den Benutzernamen und den Avatar des Benutzers anzeigen, wenn er in der App angemeldet ist. Administratoren können möglicherweise Beiträge aktualisieren/löschen. Das Wichtigste ist jedoch, dass Benutzer/Abonnenten unter ihrem Benutzernamen Kommentare abgeben können, indem sie über die REST -API angemeldet sind.

Meine Frage ist: Ist Basic Auth ein akzeptabler Weg, dies zu tun? Ich kann mir vorstellen, dass dies in manchen Situationen gefährlich sein könnte, aber es werden überhaupt keine vertraulichen Daten angezeigt und das Kennwort des Benutzers wird nirgendwo angezeigt.

Bitte sag mir was du denkst. Danke im Voraus.

4
Joshua Clinton

Die Standardauthentifizierung ist eine weit verbreitete Authentifizierungsmethode für Benutzernamen und Kennwort. Sie ist so stark wie die Kombination aus Benutzername und Kennwort und die Verschlüsselung des verwendeten Protokolls.

Die Schwäche der Basisauthentifizierung besteht darin, dass der Benutzername und das Kennwort für Man-in-the-Middle-Angriffe anfällig sind, wenn Sie sie mit einfachem http anstelle von https verwenden.

Sie können die Basisauthentifizierung verwenden, stellen Sie jedoch sicher, dass Sie SSL-Verschlüsselung/https verwenden.

0
forsvunnet