Основная дилемма REST API WordPress для аутентификации
Сегодня я протестировал базовую аутентификацию для API REST WordPress, и она отлично работала. Однако я слышал, что это был опасный способ аутентификации. Это понятно, так как люди могут просматривать файлы JS и т.д.
Однако у меня есть внешнее приложение, в котором я хочу, чтобы пользователь заполнял свои учетные данные в форме (как на обычном сайте WordPress). Затем пользователь входит в приложение и может оставлять комментарии под своим именем пользователя. Я не собираюсь выставлять напоказ любые конфиденциальные данные. Кроме того, я просто хочу показать имя пользователя и аватар пользователя, когда они вошли в приложение. Администраторы могут обновлять/удалять сообщения, но самое главное, что пользователи/подписчики могут комментировать под своим именем пользователя, войдя в систему через REST API.
Мой вопрос: является ли базовая аутентификация приемлемым способом сделать это? Я могу себе представить, что в некоторых ситуациях это может быть опасно, но конфиденциальные данные вообще не раскрываются, а пароль пользователя нигде не отображается.
Пожалуйста, дайте мне знать, что вы думаете. Заранее спасибо.
1 answers
Базовая аутентификация - это очень распространенный метод аутентификации по имени пользователя/паролю, и он так же надежен, как комбинация имени пользователя и пароля и шифрование используемого вами протокола.
Слабость базовой аутентификации заключается в том, что если вы используете ее с обычным http вместо https, то имя пользователя и пароль подвержены атаке "человек посередине".
Вы можете использовать базовую аутентификацию, но убедитесь, что вы используете SSL-шифрование/https.