wp_verify_nonce() | Function | WordPress Developer Resources
wp_create_nonce() | Function | WordPress Developer Resources
wp_create_nonce をしたら nonce な値が生成されるが WordPress にログインされているユーザによって異なる、というのがちょっと気になった。未ログインだと未ログインユーザとして一緒の扱いになり、未ログインでも〜〜みたいな制約をつけようとしたらちょっと弱い感じがする。
例えばリクエスト元 IP(スマホなんかだとコロコロ変わるので難しい)だったり UserAgent(被る可能性が高い)だったり、なんとかフロントエンド、クライアント側にユニークになるような値を作ってもらって nonce を生成するのがよさそう。とはいえ、未ログインユーザとして出来ること、持っている権限は、異なる未ログインユーザであっても基本的には同じになるだろうので、なんか、まあ、やりたいことに合わせて、よしなにしたらいいんじゃないかなあ………。
前回の API を作る記事にあわせて nonce を作って、検証する API も書いてみるとこんな感じ。
class PostAPI
{
private $namespace;
private $nonceKey;
public function __construct(string $namespace, string $nonceKey)
{
$this->namespace = $namespace;
$this->nonceKey = $nonceKey;
$this->registerNonce();
}
protected function registerNonce()
{
register_rest_route(
$this->namespace,
'nonce',
[
'methods' => 'POST',
'callback' => function(WP_REST_Request $req) {
$response = new WP_REST_Response;
$response->set_status(200);
$response->set_data([
'result' => 'success',
'nonce' => wp_create_nonce($this->nonceKey),
]);
return $response;
},
]
);
}
public function register(string $endpoint, \Closure $handler)
{
register_rest_route(
$this->namespace,
$endpoint,
[
'methods' => 'POST',
'callback' => function (WP_REST_Request $req) use ($handler) {
if (!wp_verify_nonce($req['nonce'], $this->nonceKey)) {
$response = new WP_REST_Response;
$response->set_status(401);
$response->set_data([]);
return $response;
}
return $handler($req);
},
]
);
}
}
add_action('rest_api_init', function() {
$api = new PostAPI('myapi/v1', 'myapi');
$api->register('/say', function(WP_REST_Request $req) {
$message = $req['message'];
$response = new WP_REST_Response;
$response->set_status(200);
$response->set_data([
'result' => 'success',
'message' => $message,
]);
return $response;
});
});
うん、うごいていそうだ。
$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello'
HTTP/2 401
...
[]
$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/nonce'
HTTP/2 200
...
{"result":"success","nonce":"a0519f891d"}
$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello&nonce=a0519f891d'
HTTP/2 200
...
{"result":"success","message":"hello"}