WordPressのREST APIをJWT認証で使う

ブログ

JWTについて

JWT(JSON Web Token)は、WordPress REST APIにおける認証の手段として非常に便利です。この記事では、WordPressサイトでJWTを使用してREST API認証を行う方法を詳しく解説します。

JWT(JSON Web Token)は、ユーザーの認証情報をセキュアに交換するための標準です。JWTはトークン形式で、ヘッダー、ペイロード、署名の3つの部分から成り立っています。WordPress REST APIでJWTを使うことで、クライアントとサーバー間で安全に認証情報を送信できます。

WordPressでのJWT認証設定

JWT Authentication for WP REST APIプラグインのインストール

  • WordPress管理画面にログインし、「プラグイン」>「新規追加」をクリックします。
  • 検索バーに「JWT Authentication for WP REST API」と入力し、インストールします。
  • インストール後、プラグインを有効化します。
    JWT

.htaccessの設定

.htaccessまたはウェブサーバーの設定
.htaccessファイルに必要な設定を追加します。Authorizationヘッダーを処理するための設定です。
以下の内容をhtaccessに追記します。
“`

RewriteEngine on
RewriteCond %{HTTP:Authorization} ^(.)
RewriteRule ^(.) – [E=HTTP_AUTHORIZATION:%1]

SetEnvIf Authorization “(.*)” HTTP_AUTHORIZATION=$1

### wp-configの編集
 - WordPressの`wp-config.php`ファイルに以下のコードを追加します。これにより、JWT認証で使用する秘密鍵を設定します。

   ```php
   define('JWT_AUTH_SECRET_KEY', 'your_secret_key_here');
   ```

 - `your_secret_key_here`は、任意の秘密鍵(十分に複雑で長い文字列)に置き換えます。
 - 

https://api.wordpress.org/secret-key/1.1/salt/
api.wordpress.org
(https://api.wordpress.org/secret-key/1.1/salt/) このリンクで自動生成したキーを利用することが推奨されているようです。

この部分は最後に追記するよりも、`define( 'NONCE_SALT',`がある下あたりに書いたほうがいいかもしれません。

詳しくは以下の記事を確認してください。
<div class="wp-block-embed__wrapper">


WordPressのRESTAPIでJWT認証時のエラー解決法
発生したエラー WordpressのREST APIを使うにあたって、きちんと設定したはずなのになぜかエラーが出て、アクセストークンを取得できない… という状況になりました。 レスポンスのメッセージは {"code":"jwt_auth_b...
lifetechia.com
2024.09.09

</div>

<div class="alert-box">`JWT_AUTH_SECRET_KEY`は、外部に漏洩しないように注意してください</div>

### JWTトークンの取得方法

JWTトークンを取得するためには、WordPress REST APIに対してログインリクエストを送信し、アクセストークンを取得します。以下の例では、Pythonを使ってトークンを取得する方法を示します。


1. **必要なライブラリのインストール**

   ```bash
   pip install requests
   ```

2. **トークン取得スクリプト**

   ```python
   import requests

   # WordPressサイトのURLとエンドポイント
   base_url = "https://your-wordpress-site.com"
   token_url = f"{base_url}/wp-json/jwt-auth/v1/token"

   # 認証情報
   credentials = {
       "username": "your_username",
       "password": "your_password"
   }

   # POSTリクエストでトークンを取得
   response = requests.post(token_url, data=credentials)

   if response.status_code == 200:
       token = response.json().get('token')
       print("JWT Token:", token)
   else:
       print("Error:", response.status_code, response.text)
   ```

   - `your_username`と`your_password`は、WordPressの管理者アカウントのユーザー名とパスワードに置き換えます。
   - トークンはレスポンスのJSONから取得できます。

### PythonからのJWT認証を使ったAPIリクエストの実行

トークンを取得したら、JWTを使ってWordPress REST APIにリクエストを送信できます。


```python
import requests

# WordPressサイトのURLとエンドポイント
base_url = "https://your-wordpress-site.com"
api_url = f"{base_url}/wp-json/wp/v2/posts"

# JWTトークン
token = "your_jwt_token"

# 認証ヘッダーの設定
headers = {
    "Authorization": f"Bearer {token}",
    "Content-Type": "application/json"
}

# POSTリクエストで記事を作成
post_data = {
    "title": "Sample Post",
    "content": "This is a sample post created via JWT Authentication.",
    "status": "draft"  
}

response = requests.post(api_url, headers=headers, json=post_data)

# APIレスポンスの確認
if response.status_code == 201:
    print("Post created successfully!")
    print("Post ID:", response.json()['id'])
else:
    print("Error:", response.status_code, response.text)

まとめ

JWTを使用してWordPress REST APIの認証を行うことで、セキュアかつスムーズな認証プロセスが実現できます。

コメント

タイトルとURLをコピーしました