【发布时间】:2018-08-12 13:09:40
【问题描述】:
我有一个与 JWT 相关的问题。 这是场景。
- A -> 启用了 wp rest api 的 wordpress 网站;
- B -> 外部应用程序(比如简单的 javascript/jQuery 应用程序)
因此,如果我想在 wordpress 网站 (A) 上进行发布请求/创建新帖子,我可以通过提供用户名 + 密码然后获取 JWT 令牌进行身份验证来做到这一点。如果我设置了快速登录功能,它基本上可以正常工作,而不会暴露用户名和密码。 但是,问题如下: 如果我需要应用程序让我们说从 A 获取所有帖子(通过 rest api 的 wordpress 网站),但我不想要登录功能,基本上我需要一种方法来提供用户登录凭据以获取 jwt 令牌,但是这对我来说没有意义,因为有人可以检查 js 代码并提取该信息?
【问题讨论】:
-
要不要做一个不受保护的api路由? (未登录用户可访问)
-
不,抱歉,如果我的问题不清楚。我想知道如何保护我在用于从 api 获取令牌的外部应用程序的 javascript 文件中提供的用户名和密码。基本上,如果我将用户名和密码放在 javascript 文件中,是否有人能够检查我的应用程序并收集用户名和密码,从而能够获取访问令牌并执行恶意活动?
标签: javascript json ajax wordpress jwt