Wordpress 上で定義した API に nonce による制約を入れる

この記事は公開されてから1年以上経過しており、最新の内容に追従できていない可能性があります。

wp_verify_nonce() | Function | WordPress Developer Resources

wp_create_nonce() | Function | WordPress Developer Resources

wp_create_nonce をしたら nonce な値が生成されるが WordPress にログインされているユーザによって異なる、というのがちょっと気になった。未ログインだと未ログインユーザとして一緒の扱いになり、未ログインでも〜〜みたいな制約をつけようとしたらちょっと弱い感じがする。

例えばリクエスト元 IP(スマホなんかだとコロコロ変わるので難しい)だったり UserAgent(被る可能性が高い)だったり、なんとかフロントエンド、クライアント側にユニークになるような値を作ってもらって nonce を生成するのがよさそう。とはいえ、未ログインユーザとして出来ること、持っている権限は、異なる未ログインユーザであっても基本的には同じになるだろうので、なんか、まあ、やりたいことに合わせて、よしなにしたらいいんじゃないかなあ………。

前回の API を作る記事にあわせて nonce を作って、検証する API も書いてみるとこんな感じ。

class PostAPI
{
    private $namespace;
    private $nonceKey;

    public function __construct(string $namespace, string $nonceKey)
    {
        $this->namespace = $namespace;
        $this->nonceKey = $nonceKey;
        $this->registerNonce();
    }

    protected function registerNonce()
    {
        register_rest_route(
            $this->namespace,
            'nonce',
            [
                'methods' => 'POST',
                'callback' => function(WP_REST_Request $req) {
                    $response = new WP_REST_Response;
                    $response->set_status(200);
                    $response->set_data([
                        'result' => 'success',
                        'nonce' => wp_create_nonce($this->nonceKey),
                    ]);
                    return $response;
                },
            ]
        );
    }

    public function register(string $endpoint, \Closure $handler)
    {
        register_rest_route(
            $this->namespace,
            $endpoint,
            [
                'methods' => 'POST',
                'callback' => function (WP_REST_Request $req) use ($handler) {
                    if (!wp_verify_nonce($req['nonce'], $this->nonceKey)) {
                        $response = new WP_REST_Response;
                        $response->set_status(401);
                        $response->set_data([]);
                        return $response;
                    }

                    return $handler($req);
                },
            ]
        );
    }
}

add_action('rest_api_init', function() {
    $api = new PostAPI('myapi/v1', 'myapi');
    $api->register('/say', function(WP_REST_Request $req) {
        $message = $req['message'];

        $response = new WP_REST_Response;
        $response->set_status(200);
        $response->set_data([
            'result' => 'success',
            'message' => $message,
        ]);
        return $response;
    });
});

うん、うごいていそうだ。 

$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello'
HTTP/2 401
...

[]


$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/nonce'
HTTP/2 200
...

{"result":"success","nonce":"a0519f891d"}


$ curl -X POST -H 'Content-Type:application/json' -D - '.../wp-json/myapi/v1/say?message=hello&nonce=a0519f891d'
HTTP/2 200
...

{"result":"success","message":"hello"}

サイト案内

運営してるひと: @sters9

最近は Go, Ruby, Rails, Kubernetes, GCP, Datadog あたりをしていますがもっといろいろやりたい!

サイト案内

開発環境の紹介

プライバシーポリシー

tools.gomiba.co

サイト内検索

アーカイブ

2024/09 (3) 2024/07 (1) 2024/06 (3) 2024/05 (1) 2024/04 (7) 2024/03 (4) 2024/01 (3)

2023/12 (1) 2023/11 (3) 2023/10 (1) 2023/09 (1) 2023/08 (2) 2023/05 (4) 2023/04 (4) 2023/03 (4) 2023/02 (2) 2023/01 (1)

2022/12 (2) 2022/11 (4) 2022/10 (3) 2022/09 (2) 2022/08 (4) 2022/07 (5) 2022/06 (4) 2022/05 (9) 2022/04 (8) 2022/03 (10) 2022/02 (21) 2022/01 (8)

2021/12 (11) 2021/11 (1) 2021/10 (4) 2021/09 (2) 2021/08 (1) 2021/07 (2) 2021/06 (5) 2021/05 (10) 2021/04 (1) 2021/03 (8) 2021/02 (12) 2021/01 (8)

2020/05 (2) 2020/04 (2) 2020/02 (2) 2020/01 (1)

2019/12 (3) 2019/11 (2) 2019/10 (5) 2019/09 (3) 2019/07 (6) 2019/06 (4) 2019/04 (3) 2019/01 (2)

2018/12 (6) 2018/10 (4) 2018/09 (6) 2018/08 (7) 2018/07 (16) 2018/06 (7) 2018/05 (7) 2018/04 (5) 2018/03 (3) 2018/02 (10) 2018/01 (6)

2017/12 (8) 2017/11 (6) 2017/10 (10) 2017/09 (12) 2017/08 (12) 2017/07 (3) 2017/06 (1) 2017/01 (4)

2016/12 (5) 2016/10 (3) 2016/09 (1) 2016/07 (2) 2016/06 (1) 2016/04 (1) 2016/02 (1) 2016/01 (2)

2015/12 (1) 2015/10 (1) 2015/09 (3) 2015/06 (1) 2015/01 (1)

2014/08 (2) 2014/07 (3) 2014/05 (1) 2014/01 (7)

2013/12 (2) 2013/11 (4) 2013/10 (1) 2013/09 (1) 2013/08 (3) 2013/07 (4) 2013/06 (5) 2013/05 (2) 2013/04 (7) 2013/03 (1)