如何保护wp-api以防止人们添加/删除帖子？

Question

我是wp-api的新手。我确实安装了它，并且我能够发出一些GET请求来从我的博客中检索内容。

我的问题很天真:任何人都可以发送一些DELETE/UPDATE rest请求来修改/删除我的帖子吗?还是必须先对用户进行身份验证才能这样做？

换句话说，我可以使用wp-api而不考虑任何安全问题吗？

Answer 1

如果你指的是WordPress REST Api 2.7以上的版本，你不能在未经认证的情况下调用PUT，PATCH，DELETE。

下面是有关身份验证https://developer.wordpress.org/rest-api/using-the-rest-api/authentication/的更多详细信息

您还可以尝试使用POSTMAN向您的API端点发出一个PUT调用。如果您没有登录，您将得到类似下面粘贴的内容。

{
    "code": "rest_cannot_edit",
    "message": "Sorry, you are not allowed to edit this post.",
    "data": {
        "status": 401
    }
}