5

我正在 WordPress 上构建一个应用程序,它需要一个简单的前端表单,任何人都可以提交需要保存在数据库中的信息。我正在尝试通过 REST API 来处理这个问题。(由于应用程序的性质,提交此信息时不能进行任何页面重定向。)

我可以毫无问题地设置 REST API (v2),以便我可以提交帖子。当我登录 WordPress 时效果很好。当我在未登录 WordPress 的情况下尝试填写表单时,收到错误消息。

加载资源失败:服务器响应状态为 403(禁止)

如何设置 API 以接收来自任何未经身份验证的人的 POST?

这是我的javascript:

$( '#post-submission-form' ).on( 'submit', function(e) {
    e.preventDefault();
    var title = $( '#post-submission-title' ).val();
    var excerpt = $( '#post-submission-excerpt' ).val();
    var content = $( '#post-submission-content' ).val();
    var status = 'draft';

    var data = {
        title: title,
        excerpt: excerpt,
        content: content
    };

    $.ajax({
        method: "POST",
        url: POST_SUBMITTER.root + 'wp/v2/posts',
        data: data,
        beforeSend: function ( xhr ) {
            //xhr.setRequestHeader( 'X-WP-Nonce', POST_SUBMITTER.nonce );
        },
        success : function( response ) {
            console.log( response );
            alert( POST_SUBMITTER.success );
        },
        fail : function( response ) {
            console.log( response );
            alert( POST_SUBMITTER.failure );
        }

    });

});

这是我初始化我的javascript的方式:

function holiday_scripts() {

    // Onload JS
    wp_enqueue_script( 'holiday-js', get_template_directory_uri() . '/js/holiday.js', array(), false, true );

    //localize data for script
    wp_localize_script( 'holiday-js', 'POST_SUBMITTER', array(
        'root' => esc_url_raw( rest_url() ),
        'nonce' => wp_create_nonce( 'wp_rest' ),
        'success' => __( 'Thanks for your submission!', 'your-text-domain' ),
        'failure' => __( 'Your submission could not be processed.', 'your-text-domain' ),
        'current_user_id' => 9
        )
     );
}
add_action( 'wp_enqueue_scripts', 'holiday_scripts' );

有谁知道如何做到这一点?

谢谢!

4

1 回答 1

3

对 REST API 进行身份验证有三种不同的选项:

  1. Cookie- 这就是你现在使用的
  2. OAuth- 需要前端的 OAuth 插件和嵌入密钥
  3. Basic- 需要在前端嵌入用户名/密码

在此处查看有关使用这些方法的文档:http: //v2.wp-api.org/guide/authentication/

在前端嵌入身份验证信息时存在明显的安全风险,这是必需的OAuthBasic因为任何人都可以作为与密钥关联的用户进行身份验证。我对 WP OAuth 插件不够熟悉,不知道你可以控制访问的粒度,但我认为你真的不能。

最简单的解决方案是在 REST API 之外编写自己的方法来处理这些更新(或为项目做出贡献以使未经身份验证的请求成为可能)。我在我的网站上写了一个创建 AJAX 函数的指南,但基本上你想将一个函数附加到wp_ajax_nopriv_*钩子上,其中*是你请求的“动作”参数。在您的挂钩 PHP 函数中,您处理帖子插入并使用 JSON 响应(您甚至可以匹配 WP REST API 格式)。

PHP

// insert new post
function create_post_33741541() {
    // use the $_POST to create your post
    $args = array(
         'post_title' => isset( $_POST['title'] )? $_POST['title'] : 'Empty Title',
         // more parameters....
    );
    $post_id = wp_insert_post( $args );

    // make a response
    $response = array( 'post_id' => $post_id, 'message' => 'post created!' );

    // set the content type and return json encode response, then exit
    header( 'Content-type: application/json' );
    die( json_encode( $response ) );
}
// use wp_ajax_nopriv to access from front end
add_action( 'wp_ajax_nopriv_create_post_33741541', 'create_post_33741541' );
add_action( 'wp_ajax_create_post_33741541', 'create_post_33741541' );

JavaScript

function createThePost(){
    var data = {
        // use the part after "wp_ajax_nopriv" as the action
        action: 'create_post_33741541',
        title: 'Your title',
        // other params
    };

    $.ajax({
        method: "POST",
        url: ajaxurl,
        data: data,
        // your handlers
    });
}
于 2015-11-16T18:33:41.980 回答