这两天有新项目需要用到站外登录WP，操作WP网站的数据，之前在一些小项目中，通过Rest API操作网站数据，我都是通过Basic认证的。Basic认证有一个安全方面的缺点，就是每次发送请求，都需要把用户名和密码base64编码到请求的header里。这样就得在站外存储WP网站的用户名密码，如果在站外没有做好安全，不小心泄露这个登录信息，就会造成安全问题。为了规避这种漏洞，我的方式是在WP站内建一个秘密用户，只分配用得到的权限，用户在站外请求我的Rest API，如果要写数据，我用一个中转的节点，加上这个秘密用户的用户名密码组成的header去请求数据。当然，这当中还要加上识别用户的业务逻辑，比如用手机号码做用户字段，这就不另外展开了…

所以我重新考虑OAuth认证方式，谷歌了不少资料，网上大家比较公认的是这一篇：https://code.tutsplus.com/tutorials/wp-rest-api-setting-up-and-using-oauth-10a-authentication–cms-24797
如果你也研究过OAuth和Rest API，你应该也看过这篇文章或者它的翻译版本。

一开始我觉得跟着上面那篇tutsplus上的教程跑一遍就好了，也没必要特意写这篇文章去总结。然而实际操作过程还是踩坑了，所以需要自己记录一下，复盘一下跑通OAuth1.0的过程。本文无代码，都是测试截图。
查看详细 »