10-17 02:23 阅读 314

关注

WordPress 不使用插件开发 RESTful API JWT 授权和验证

WordPress 自带的 RESTful API 内置的身份验证方法是 Cookie Authentication ，登录仪表板时，会生成cookie。为了防止CSRF，需要在请求的地址后面，加上一个 nonce 参数“_wpnonce”。

CSRF请参考：https://javascript.net.cn/article?id=683

nonce生成，参考：https://verytheme.com/archives/136

如果想使用JWT（JSON Web Token）,官方建议使用插件 https://wordpress.org/plugins/jwt-authentication-for-wp-rest-api/

但是这个插件只能使用用户名和密码登录，二次开发使用手机号或者验证码登录的话是不可以的，所以自己写了一个大概，可以完成注册、登录和验证。

一，WordPress JWT 用户注册接口

/* -------------------------------------------------------------------------- *
 * 用户注册接口 http://test.com/wp-json/verytheme/v1/register
 */add_action('rest_api_init', 'register_route_hook');function register_route_hook(){
    register_rest_route('verytheme/v1', 'register', [        'methods'  => 'POST',        'callback' => 'register_callback'
    ]);
}function register_callback($request){    //获取注册页面提交时候的表单数据
    $redirect_to = sanitize_user($_REQUEST['redirect_to']) ? sanitize_user($_REQUEST['redirect_to']) : home_url();    if (!empty($_POST['reg_flag'])) {
        $error = '';
        $sanitized_user_login       = sanitize_user($_POST['user_login']);
        $user_website               = sanitize_user($_POST['website']);
        $user_description           = sanitize_user($_POST['description']);
        $user_nickname              = sanitize_user($_POST['nickname']);
        $user_email                 = apply_filters('user_registration_email', $_POST['user_email']);        // 验证邮箱
        if ($user_email == '') {            // 一些代码 ...
        } 
        // 验证用户名
        if ($sanitized_user_login == '') {            // 一些代码 ...
        }        //验证密码
        if (strlen($_POST['user_pass']) < 6) {            // 一些代码 ...
        }        if ($error == '') {            //验证全部通过进入注册信息添加
            $display_name = empty($user_nickname) ? $sanitized_user_login : $user_nickname;
            $user_pass = $_POST['user_pass'];
            $user_id = wp_insert_user(array(                'user_login'    => $sanitized_user_login,                'user_pass'     => $user_pass,                'nickname'      => $user_nickname,                'display_name'  => $display_name,                'user_email'    => $user_email,                'user_url'      => $user_website, 'description'   => $user_description
            ));            //意外情况判断，添加失败
            if (!$user_id) {                // 一些代码 ...
            }
        }
    }
}

二，WordPress JWT 登录接口

/* -------------------------------------------------------------------------- *
 * JWT 登录 http://test.com/wp-json/verytheme/v1/login
 */add_action('rest_api_init', 'login_route_hook');function login_route_hook(){
    register_rest_route('verytheme/v1', 'login', [        'methods'  => 'POST',        'callback' => 'login_callback'
    ]);
}function login_callback($request){
    $json = $request->get_json_params();
    $username = $json['username'];
    $password = $json['password'];


    global $wpdb;
    $user = $wpdb->get_results($wpdb->prepare("SELECT * FROM wp_users WHERE user_login=%s",$username));    if(!$user){        return new WP_Error(            'jwt_auth_bad_request',            '用户名或者密码错误',
            array(                'status' => 403
            )
        );
    }    if(!wp_check_password($password, $user[0]->user_pass)){        return new WP_Error(            'jwt_auth_bad_request',            '用户名或者密码错误',
            array(                'status' => 403
            )
        );
    }


    $res['token'] = createToken(1);
    $res['user']  = $user[0];    return $res;
}



require_once get_template_directory() . "/extends/php-jwt/src/JWT.php";
require_once get_template_directory() . "/extends/php-jwt/src/BeforeValidException.php";
require_once get_template_directory() . "/extends/php-jwt/src/ExpiredException.php";
require_once get_template_directory() . "/extends/php-jwt/src/SignatureInvalidException.php";

三，WordPress JWT 生成JWT Token

/**
 * 生成JWT Token
 */function createToken($user_id){
    $time                    = time();
    $payload['iat']          = $time;        // 签发时间
    $payload['exp']          = $time + 60*1000;   // 过期时间
    $payload['nbf']          = $time;        // 生效时间
    $payload['user_id']      = $user_id;  // 用户 ID
    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';
    $token  = Firebase\JWT\JWT::encode($payload, $key);    return $token;
}

四，验证JWT

默认情况下，筛选器使用此选项从请求的cookie（如果可用）中确定当前用户。所有的验证方法钩子都会调用determine_current_user过滤器,包括wp_validate_auth_cookie()。在生成JWT的时候，我们把user_id放入了JWT的Payload中，现在也可以在determine_current_user取出来，像中间价一样。

add_filter('determine_current_user', 'determine_current_user_callback' );function determine_current_user_callback($user){

    $auth = isset($_SERVER['HTTP_AUTHORIZATION']) ? $_SERVER['HTTP_AUTHORIZATION'] : false;


    list($token) = sscanf($auth, 'Bearer %s');    if (!$token) {        // echo "fuck";
        return 0;
    }


    $key    = defined('JWT_KEY') ? JWT_KEY : 'default_key';    try {
        $data = Firebase\JWT\JWT::decode($token, $key, array('HS256'));
    } catch(Exception $e) {        // echo 'Message: ' .$e->getMessage();
        return 0;
    }    return $data->user_id ? $data->user_id : 0;
}