要保护您的WordPress Rest API只能从特定的Android应用程序访问,您可以使用JSON Web Token(JWT)身份验证,该身份验证允许您为每个请求生成具有过期时间的唯一令牌。以下是给出一个示例,说明如何使用Android应用程序包名称生成JWT令牌,并在WordPress网站上仅允许通过该应用程序URL进行访问。
首先,您需要为您的WordPress网站安装启用JWT身份验证插件,例如WP JWT Authentication。
接下来,在您的Android应用程序中,您可以使用以下Java代码生成JWT令牌:
String packageName = getApplicationContext().getPackageName();
String token = null;
try {
token = JWT.create()
.withExpiresAt(new Date(System.currentTimeMillis() + 86400000L))
.withIssuer(packageName)
.sign(Algorithm.HMAC256("YourSecretKey"));
} catch (Exception e) {
Log.e("Error", e.toString());
}
在这个示例中,我们使用了packageName来作为JWT的Issuer,以确保只有从此应用程序生成的JWT令牌才能访问WordPress Rest API。此外,我们还指定了JWT过期时间为1天,并使用HMAC256算法与您为您的网站选择的共享密钥进行签名。
最后,您可以使用以下PHP代码在WordPress中验证JWT令牌,并仅允许从具有正确JWT令牌的Android应用程序URL访问Rest API:
function verify_jwt_token($jwt_token) {
$packageName = "your.package.name";
try {
JWT::$leeway = 60;
JWT::decode($jwt_token, "YourSecretKey", array('HS256'));
$decoded_token = JWT::decode($jwt_token, "YourSecretKey", array('HS256'));
if ($decoded_token->iss != $packageName) {
return false;
}
return true;
} catch (Exception $e) {
return false;
}
}
add_filter('rest_authentication_errors', function ($access) {
if (!is_user_logged_in()) {
$token = $_SERVER['HTTP_AUTHORIZATION'];
if (!empty($token) && verify_jwt_token($token)) {
return $access;
} else {
return new WP_Error(
'rest_forbidden',
__('REST API is restricted to authenticated users only who use our Android app.'),
array('status