WordPress REST API BasicAuth 保护下获取文章教程

本教程详细介绍了如何在wordpress环境中，利用`wp_remote_get()`函数访问受basicauth保护的远程wordpress站点的rest api以获取文章数据。文章将深入讲解如何通过设置http请求头中的`authorization`字段，将base64编码的用户名和密码传递给api，并提供完整的代码示例。同时，教程也强调了在使用basicauth时的注意事项和潜在的安全考量。

通过 wp_remote_get 访问 BasicAuth 保护的 WordPress REST API

在WordPress开发中，我们经常需要从其他站点获取数据。当目标站点配置了BasicAuth认证来保护其REST API时，标准的wp_remote_get()函数调用将无法直接获取数据。本教程将指导您如何扩展wp_remote_get()的功能，使其能够处理BasicAuth认证。

理解 wp_remote_get 与 BasicAuth

wp_remote_get()是WordPress核心提供的用于执行HTTP GET请求的函数，它是对WP_Http类的封装。此函数允许您通过一个参数数组来定制请求，包括设置HTTP头信息。

BasicAuth是一种简单的HTTP认证方案，它要求客户端在请求头中发送用户名和密码。具体来说，Authorization头的值格式为Basic后跟base64编码的username:password字符串。

实施 BasicAuth 认证

要通过wp_remote_get()发送BasicAuth凭据，我们需要在请求的$args参数中添加一个headers数组，并在其中设置Authorization头。

ProfilePicture.AI

在线创建自定义头像的工具

67 查看详情

以下是实现这一功能的关键代码片段：

<?php$username = 'your_api_username'; // 替换为目标站点的API用户名$password = 'your_api_password'; // 替换为目标站点的API密码$args = array(    'headers' => array(        'Authorization' => 'Basic ' . base64_encode( $username . ':' . $password ),    ),);// 使用 wp_remote_get 发送带有 BasicAuth 头的请求$response = wp_remote_get( 'https://your-target-site.com/wp-json/wp/v2/posts?per_page=2', $args );// ... 后续处理响应的代码?>

登录后复制

集成到获取文章函数中

现在，我们将上述BasicAuth逻辑集成到原有的获取文章函数中。

<?php// 禁用直接文件访问。if ( ! defined( 'ABSPATH' ) ) {    exit;}function get_posts_via_rest_with_basic_auth( $api_url, $username, $password ) {    // 初始化变量。    $allposts = '';    // 构建 BasicAuth 认证头。    $args = array(        'headers' => array(            'Authorization' => 'Basic ' . base64_encode( $username . ':' . $password ),        ),        // 可以根据需要添加其他参数，例如超时设置等        // 'timeout'     => 10,        // 'redirection' => 5,        // 'httpversion' => '1.0',        // 'blocking'    => true,        // 'sslverify'   => false, // 在开发环境中可能需要禁用，生产环境强烈建议启用    );    // 发送带有 BasicAuth 认证的 GET 请求。    $response = wp_remote_get( $api_url, $args );    // 如果请求出错，返回。    if ( is_wp_error( $response ) ) {        error_log( 'WP_Remote_Get Error: ' . $response->get_error_message() );        return '';    }    // 获取响应体。    $posts = json_decode( wp_remote_retrieve_body( $response ) );    // 如果没有返回内容，返回。    if ( empty( $posts ) ) {        return '';    }    // 如果存在文章。    if ( ! empty( $posts ) ) {        // 遍历每篇文章。        foreach ( $posts as $post ) {            // 格式化日期。            $fordate = date( 'n/j/Y', strtotime( $post->modified ) );            // 显示带有链接的标题和文章日期。            $allposts .= '<a href="' . esc_url( $post->link ) . '" target="_blank">' . esc_html( $post->title->rendered ) . '</a>  ' . esc_html( $fordate ) . '<br />';        }        return $allposts;    }    return ''; // 确保在没有文章时返回空字符串}// 示例用法：// 请替换为您的目标站点信息和认证凭据$target_api_url = 'https://www.your-target-site.com/wp-json/wp/v2/posts?per_page=2';$api_username   = 'your_api_user';$api_password   = 'your_api_pass';// 调用函数获取文章// echo get_posts_via_rest_with_basic_auth( $target_api_url, $api_username, $api_password );?>

登录后复制

注意事项

安全性： 直接在代码中硬编码用户名和密码存在安全风险，尤其是在公共可访问的源代码中。更好的做法是将这些凭据存储在WordPress的常量、数据库选项或环境变量中，并在需要时安全地检索它们。用户权限： BasicAuth通常用于保护整个API端点，但目标WordPress站点上的REST API访问权限可能还需要与特定用户角色关联。确保您使用的BasicAuth凭据对应一个在目标站点上拥有读取文章权限的WordPress用户。API 访问级别： 即使使用了BasicAuth，某些高度敏感的API端点（例如管理设置）可能仍需要更高的认证机制（如OAuth）或特定的插件（如Basic Authentication handler）来处理，但对于获取公开或受限文章通常Authorization头就足够。错误处理： 在实际应用中，务必对wp_remote_get()的响应进行充分的错误检查，包括is_wp_error()、HTTP状态码（wp_remote_retrieve_response_code()）以及JSON解码结果。SSL 验证： 在生产环境中，始终确保启用SSL验证（sslverify参数默认为true）。在开发环境中，有时为了方便会暂时禁用，但这会降低安全性。

总结

通过在wp_remote_get()函数的$args参数中正确设置Authorization HTTP头，我们可以有效地访问受BasicAuth保护的WordPress REST API。这种方法简单直接，适用于许多需要从外部WordPress站点获取数据的场景。然而，开发者应始终关注安全最佳实践，并根据目标API的具体要求和敏感性，选择最合适的认证策略。

以上就是WordPress REST API BasicAuth 保护下获取文章教程的详细内容，更多请关注php中文网其它相关文章！