web-dev-qa-db-fra.com

Authentification de base WordPress REST Dilemme des API

Aujourd'hui, j'ai testé l'authentification de base pour l'API WordPress REST et cela a parfaitement fonctionné. Cependant, j'ai entendu dire que c'était un moyen dangereux d'authentification. Cela est compréhensible, car les gens peuvent consulter les fichiers JS, etc.

Cependant, j'ai une application externe dans laquelle je veux que l'utilisateur remplisse ses informations d'identification dans un formulaire (comme sur un site WordPress normal). Ensuite, l'utilisateur est connecté à l'application et peut poster des commentaires sous son nom d'utilisateur. Je ne prévois pas d'exposer des données sensibles. De plus, je veux simplement montrer le nom d'utilisateur et l'avatar de l'utilisateur lorsqu'il est connecté à l'application. Les administrateurs peuvent peut-être mettre à jour/supprimer des messages, mais le plus important est que les utilisateurs/abonnés puissent commenter sous leur nom d'utilisateur en étant connectés via l'API REST.

Ma question est la suivante: l’authentification de base est-elle un moyen acceptable de procéder? J'imagine que dans certaines situations, cela pourrait être dangereux, mais aucune donnée sensible n'est exposée et le mot de passe de l'utilisateur ne s'affiche nulle part.

S'il vous plait, faite moi part de votre avis. Merci d'avance.

4
Joshua Clinton

L'authentification de base est une méthode très courante d'authentification de nom d'utilisateur/mot de passe. Elle est aussi puissante que la combinaison nom d'utilisateur-mot de passe et le cryptage du protocole que vous utilisez.

La faiblesse de l'authentification de base est que si vous l'utilisez avec un http simple au lieu de https, le nom d'utilisateur et le mot de passe sont susceptibles d'une attaque de type "homme au milieu".

Vous pouvez utiliser l'authentification de base, mais assurez-vous que vous utilisez le cryptage SSL/https.

0
forsvunnet