没有让 wordpress nonce 与 wp-rest api 应用程序一起工作

Posted 2023-02-22

【中文标题】没有让 wordpress nonce 与 wp-rest api 应用程序一起工作

【英文标题】：Not getting wordpress nonce to work with wp-rest api application

【发布时间】：2017-06-30 00:15:40

【问题描述】：

我有一个应该是安全的应用程序，因此使用了 Nonce，但我无法让它们工作。 我已经尝试了几个选项，但由于验证不起作用，显然缺少一些东西。

我的js代码片段是：

function placeNew(next)
  _nonce = $('input#_nonce').val();
  request = $.ajax(
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: bid : next , _nonce : _nonce,
    security: '<?php echo wp_create_nonce( "a" ); ?>',
    dataType: 'json'
);
request.done(function (response, textStatus, jqXHR)
  str = JSON.stringify(response);
  if(response["error"])
    alert(response["message"]);
  

nonce 被添加到页面中，代码如下：

$nonce = wp_create_nonce( 'a' );
echo "<input type='hidden' id='_nonce' value=" . $nonce ."/>";

在 php 中，以下函数片段用于获取和比较 nonce：

function ace($request) 
    global $wpdb;
    $timestamp = time();
    $nonce = (string) $request['_nonce'];
    $verify = check_ajax_referer( 'a', $nonce, false );
    if ( ! $verify)
        $errMsg = $nonce . '-'. $verify .' not validated ';
        return (object) array(error => true, message => $errMsg);
    

我总是收到“未验证”的消息。 $nonce 有一个值，但 $verify 永远不会得到一个值。

【参考方案1】：

根据docs：

对于发出手动 Ajax 请求的开发人员，需要传递随机数 每个请求。 API 使用随机数并将操作设置为 wp_rest。这些 然后可以通过 _wpnonce 数据参数（POST 数据或在 GET 请求的查询中），或通过 X-WP-Nonce 标头。

您缺少的重要部分是：

API 使用随机数并将操作设置为 wp_rest。

要使其正常工作，您必须将 wp_create_nonce 中的操作命名为 wp_rest。

因此，对于您的代码，您必须更改以下所有实例：

wp_create_nonce( "a" )

到

wp_create_nonce( 'wp_rest' )

此外，正如文档所述：

提供随机数作为标头是最可靠的方法。

所以将它添加到你的 ajax 很简单，看起来像：

var _nonce = "<?php echo wp_create_nonce( 'wp_rest' ); ?>";
$.ajax(
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: 
        bid : next
    ,
    dataType: 'json',
    beforeSend: function ( xhr ) 
        xhr.setRequestHeader( 'X-WP-Nonce', _nonce );
    
);

另外，修复检查

check_ajax_referer( 'a', $nonce, false )

现在应该是

check_ajax_referer( 'wp_rest', '_nonce', false )

【讨论】：

如果您使用可以使用的标头路由，$request->get_header('X-WP-Nonce'); 获取 nonce 值（其中 $request 是传递给 wp-rest-api 端点回调的参数。

那么，如果您想从无法运行函数 wp_create_nonce 的外部服务调用 api 怎么办？是否有某种令牌或其他方式通过 api 进行身份验证以获得随机数？

鉴于 nonce 是由 WordPress 生成和验证的，您有 3 个选项。 1) 请求给你随机数，然后随请求一起发送 2) 实现你自己的令牌并在 WordPress 中验证它。 3）甚至不要使用nonce