jwt_auth_no_auth_header验证WordPress REST API JWT令牌

时间:2017-06-02 07:09:09

标签: wordpress rest authentication jwt

我有两个AWS实例,一个用于WordPress网站,另一个用于React应用程序。为了将它们连接在一起,我使用“WP REST API - OAuth 1.0a服务器”和“用于WP-API的JWT身份验证”来访问WP REST API。

我可以通过/wp-json/jwt-auth/v1/token生成令牌,但是当我尝试访问任何其他端点或尝试通过/wp-json/jwt-auth/v1/token/validate验证令牌时,我收到以下错误:

{
  "code": "jwt_auth_no_auth_header",
  "message": "Authorization header not found.",
  "data": {
    "status": 403
  }
}

我抬起头,发现很少要添加到.htaccess。我添加了一些我能找到但却没有成功的东西。

RewriteEngine On
RewriteBase /

# Enable HTTP Auth
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

# WordPress
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# For SetEnvIf Authorization
#RewriteRule (.*) - [env=myenv:1]
SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1
#SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0

我添加了以下代码,以查看请求中是否存在任何授权标头但没有任何

add_filter( 'rest_pre_dispatch', 'prefix_show_request_headers', 10, 3 );
function prefix_show_request_headers( $result, $server, $request ) {
    $result = $request->get_headers();
    return $result;
}

这里(https://github.com/Tmeister/wp-api-jwt-auth/issues/6)我读到WordPress可能会尝试通过cookie方法进行身份验证,默认情况下会抛出错误并且没有达到JWT身份验证,所以我添加了这段代码但仍未成功

add_filter( 'rest_authentication_errors', '__return_true' );

最后我添加了“JSON基本身份验证”插件,它还在Headers中发送用户名:密码,它可以正常工作。所以我不确定Headers被剥离是否是一个问题。因为不推荐用于生产服务器,所以我需要使用JWT身份验证。

感谢任何帮助。

2 个答案:

答案 0 :(得分:15)

我遇到了同样的问题,直到我更改了htaccess上的行顺序。 最初,我把行

RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

在规则的最后。

在仅在RewriteEngine On之后的那些行之后,错误jwt_auth_no_auth_header被修复。 关于wp rest api的jwt认证

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

答案 1 :(得分:7)

如果其他人遇到此问题,我添加到.htaccess的此代码可能无效

# Enable HTTP Auth
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

所以在插件文件jwt-authentication-for-wp-rest-api/class-jwt-auth-public.php中,查看名为validate_token的函数,在$auth检查失败后我添加了这段代码:

if (!$auth) {
    $allHeaders = getallheaders();
    $auth = isset($allHeaders['Authorization']) ? $allHeaders['Authorization'] : false;
}

这将获得Authorization标头,JWT将按预期工作

相关问题
最新问题