WordPress REST API-允许任何人发布

Question

我正在WordPress上构建一个需要简单前端表单的应用程序，任何人都可以提交需要保存在数据库中的信息。我正在尝试通过REST API处理此问题。（由于应用程序的性质，提交此信息时不能对页面进行任何重定向。）

设置REST API（v2）没问题，这样我就可以提交帖子了。当我登录WordPress时，效果很好。当我未登录WordPress时尝试填写表格时，收到错误消息。

加载资源失败：服务器响应状态为403（禁止）

如何设置API以接收任何未经身份验证的人的POST？

这是我的JavaScript：

$( '#post-submission-form' ).on( 'submit', function(e) {
    e.preventDefault();
    var title = $( '#post-submission-title' ).val();
    var excerpt = $( '#post-submission-excerpt' ).val();
    var content = $( '#post-submission-content' ).val();
    var status = 'draft';

    var data = {
        title: title,
        excerpt: excerpt,
        content: content
    };

    $.ajax({
        method: "POST",
        url: POST_SUBMITTER.root + 'wp/v2/posts',
        data: data,
        beforeSend: function ( xhr ) {
            //xhr.setRequestHeader( 'X-WP-Nonce', POST_SUBMITTER.nonce );
        },
        success : function( response ) {
            console.log( response );
            alert( POST_SUBMITTER.success );
        },
        fail : function( response ) {
            console.log( response );
            alert( POST_SUBMITTER.failure );
        }

    });

});

这是我初始化JavaScript的方式：

function holiday_scripts() {

    // Onload JS
    wp_enqueue_script( 'holiday-js', get_template_directory_uri() . '/js/holiday.js', array(), false, true );

    //localize data for script
    wp_localize_script( 'holiday-js', 'POST_SUBMITTER', array(
        'root' => esc_url_raw( rest_url() ),
        'nonce' => wp_create_nonce( 'wp_rest' ),
        'success' => __( 'Thanks for your submission!', 'your-text-domain' ),
        'failure' => __( 'Your submission could not be processed.', 'your-text-domain' ),
        'current_user_id' => 9
        )
     );
}
add_action( 'wp_enqueue_scripts', 'holiday_scripts' );

有谁知道如何实现这一目标？

谢谢！

Answer 1

可通过三种不同的选项对 REST API 进行身份验证：

1. Cookie- 这就是你现在使用的
2. OAuth- 需要 OAuth 插件并在前端嵌入密钥
3. Basic- 需要在前端嵌入用户名/密码

请参阅此处有关使用这些方法的文档： http: //v2.wp-api.org/guide/authentication/。

在前端嵌入身份验证信息时存在明显的安全风险，这是必需的，OAuth并且Basic任何人都能够以与密钥关联的用户身份进行身份验证。我对 WP OAuth 插件不太熟悉，不知道您可以如何精细地控制访问，但我认为您真的不能。

最简单的解决方案是在 REST API 之外编写您自己的方法来处理这些更新（或为项目做出贡献以使未经身份验证的请求成为可能）。我在我的网站上编写了创建 AJAX 函数的指南，但基本上您想要将一个函数附加到挂钩wp_ajax_nopriv_*，其中*是您请求的“action”参数。在您挂钩的 PHP 函数中，您可以处理帖子插入并使用 JSON 进行响应（您甚至可以匹配 WP REST API 格式）。

PHP

// insert new post
function create_post_33741541() {
    // use the $_POST to create your post
    $args = array(
         'post_title' => isset( $_POST['title'] )? $_POST['title'] : 'Empty Title',
         // more parameters....
    );
    $post_id = wp_insert_post( $args );

    // make a response
    $response = array( 'post_id' => $post_id, 'message' => 'post created!' );

    // set the content type and return json encode response, then exit
    header( 'Content-type: application/json' );
    die( json_encode( $response ) );
}
// use wp_ajax_nopriv to access from front end
add_action( 'wp_ajax_nopriv_create_post_33741541', 'create_post_33741541' );
add_action( 'wp_ajax_create_post_33741541', 'create_post_33741541' );

JavaScript

function createThePost(){
    var data = {
        // use the part after "wp_ajax_nopriv" as the action
        action: 'create_post_33741541',
        title: 'Your title',
        // other params
    };

    $.ajax({
        method: "POST",
        url: ajaxurl,
        data: data,
        // your handlers
    });
}