Wordpress 上で定義した API に nonce による制約を入れる

wp_verify_nonce() | Function | WordPress Developer Resources

wp_create_nonce() | Function | WordPress Developer Resources

wp_create_nonce をしたら nonce な値が生成されるが WordPress にログインされているユーザによって異なる、というのがちょっと気になった。未ログインだと未ログインユーザとして一緒の扱いになり、未ログインでも〜〜みたいな制約をつけようとしたらちょっと弱い感じがする。

例えばリクエスト元 IP（スマホなんかだとコロコロ変わるので難しい）だったり UserAgent（被る可能性が高い）だったり、なんとかフロントエンド、クライアント側にユニークになるような値を作ってもらって nonce を生成するのがよさそう。とはいえ、未ログインユーザとして出来ること、持っている権限は、異なる未ログインユーザであっても基本的には同じになるだろうので、なんか、まあ、やりたいことに合わせて、よしなにしたらいいんじゃないかなあ………。

前回の API を作る記事にあわせて nonce を作って、検証する API も書いてみるとこんな感じ。

class PostAPI
{
    private $namespace;
    private $nonceKey;

    public function __construct(string $namespace, string $nonceKey)
    {
        $this->namespace = $namespace;
        $this->nonceKey = $nonceKey;
        $this->registerNonce();
    }

    protected function registerNonce()
    {
        register_rest_route(
            $this->namespace,
            'nonce',
            [
                'methods' => 'POST',
                'callback' => function(WP_REST_Request $req) {
                    $response = new WP_REST_Response;
                    $response->set_status(200);
                    $response->set_data([
                        'result' => 'success',
                        'nonce' => wp_create_nonce($this->nonceKey),
                    ]);
                    return $response;
                },
            ]
        );
    }

    public function register(string $endpoint, \Closure $handler)
    {
        register_rest_route(
            $this->namespace,
            $endpoint,
            [
                'methods' => 'POST',
                'callback' => function (WP_REST_Request $req) use ($handler) {
                    if (!wp_verify_nonce($req['nonce'], $this->nonceKey)) {
                        $response = new WP_REST_Response;
                        $response->set_status(401);
                        $response->set_data([]);
                        return $response;
                    }

                    return $handler($req);
                },
            ]
        );
    }
}

add_action('rest_api_init', function() {
    $api = new PostAPI('myapi/v1', 'myapi');
    $api->register('/say', function(WP_REST_Request $req) {
        $message = $req['message'];

        $response = new WP_REST_Response;
        $response->set_status(200);
        $response->set_data([
            'result' => 'success',
            'message' => $message,
        ]);
        return $response;
    });
});

うん、うごいていそうだ。　

$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello'
HTTP/2 401
...

[]


$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/nonce'
HTTP/2 200
...

{"result":"success","nonce":"a0519f891d"}


$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello&nonce=a0519f891d'
HTTP/2 200
...

{"result":"success","message":"hello"}