Vodnik za WordPress REST API

Kaj je WordPress REST API

WordPress ekosistem REST API je vmesnik, ki zunanjim aplikacijam omogoča komunikacijo z WordPress stranjo prek HTTP zahtevkov. Namesto da do vsebine dostopate skozi WordPress frontend ali admin ploščo, vam REST API omogoča, da vsebino berete, ustvarjate, posodabljate in brišete programsko, z uporabo standardnih HTTP metod (GET, POST, PUT, DELETE) in formata JSON za izmenjavo podatkov.

REST API je vgrajen v WordPress od različice 4.7 (december 2016) in predstavlja sodoben način za interakcijo z WordPress-om. Uporablja se za mobilne aplikacije, ki prikazujejo WordPress vsebino, JavaScript frontend-e (React, Vue, Angular), ki uporabljajo WordPress kot backend, integracije z zunanjimi storitvami in avtomatizacijo upravljanja vsebine. Gutenberg urejevalnik, ki je standardni WordPress urejevalnik od različice 5.0, intenzivno uporablja REST API za vse operacije z vsebino. Če šele začenjate, si oglejte naš vodnik za namestitev WordPress-a.

Osnove REST API-ja

Endpoint-i in rute

WordPress REST API je na vaši strani na voljo pod potjo /wp-json/. Z uporabo brskalnika ali orodja, kot je cURL ali Postman, lahko dostopate do API-ja. Na primer, GET zahtevek na /wp-json/wp/v2/posts vrne seznam objav v formatu JSON, /wp-json/wp/v2/pages vrne strani, /wp-json/wp/v2/categories vrne kategorije, /wp-json/wp/v2/users vrne uporabnike, /wp-json/wp/v2/media vrne medijske datoteke, /wp-json/wp/v2/comments pa vrne komentarje. Vsak od teh endpoint-ov podpira različne HTTP metode za različne operacije - GET za branje, POST za ustvarjanje, PUT/PATCH za posodabljanje in DELETE za brisanje.

Parametri poizvedbe

REST API podpira številne parametre za filtriranje in paginacijo rezultatov. Parameter per_page nadzira število rezultatov na stran (privzeto 10, največ 100), page določa stran rezultatov za paginacijo, search išče vsebino po ključni besedi, orderby določa polje za razvrščanje (date, title, id), order določa smer razvrščanja (asc ali desc), categories in tags pa filtrirajo po kategoriji ali oznaki. Na primer, zahtevek /wp-json/wp/v2/posts?per_page=5&categories=3&orderby=date&order=desc vrne 5 najnovejših objav iz kategorije z ID-jem 3.

Struktura odgovora

API vrne podatke v formatu JSON. Vsak objekt objave vsebuje id (enolični identifikator), title z lastnostjo rendered (naslov s HTML formatiranjem), content z lastnostjo rendered (vsebina objave), excerpt z lastnostjo rendered (izvleček), date (datum objave v formatu ISO 8601), slug (URL-friendly naslov), status (publish, draft, pending), author (ID avtorja), categories in tags (nizi ID-jev). HTTP glave odgovora vsebujejo uporabne metapodatke: X-WP-Total (skupno število postavk) in X-WP-TotalPages (skupno število strani).

Avtentifikacija

Javni vs zaščiteni endpoint-i

Nekateri endpoint-i so javno dostopni brez avtentifikacije - branje objavljenih objav, strani, kategorij in oznak. Operacije, ki spreminjajo podatke (ustvarjanje, posodabljanje, brisanje), in dostop do zasebnih podatkov zahtevajo avtentifikacijo. WordPress REST API podpira več metod avtentifikacije glede na kontekst uporabe.

Application Passwords

Od WordPress 5.6 so Application Passwords vgrajeni v core in predstavljajo najpreprostejši način za avtentifikacijo zunanjih aplikacij. Application Password za uporabnika ustvarite v Users → Profile → Application Passwords. Generirano geslo se uporablja s HTTP Basic Authentication - uporabniško ime in application password pošljete v glavi Authorization vsakega zahtevka. Application Password-i imajo prednost, da jih je mogoče preklicati posamično brez spreminjanja glavnega gesla uporabnika.

JWT avtentifikacija

JSON Web Token (JWT) je priljubljena metoda za avtentifikacijo v single-page aplikacijah in mobilnih aplikacijah. WordPress nima vgrajene JWT podpore, vendar vtičniki, kot sta JWT Authentication for WP REST API ali Simple JWT Login, dodajo to funkcionalnost. Odjemalec pošlje uporabniško ime in geslo na token endpoint, dobi JWT token, ki ga nato pošlje v glavi Authorization kot Bearer token ob vsakem zahtevku. JWT tokeni imajo omejeno trajanje in jih je mogoče osvežiti brez ponovnega pošiljanja gesla.

OAuth 2.0

OAuth 2.0 je industrijski standard za avtorizacijo, ki tretjim osebam omogoča dostop do virov brez deljenja gesel. WordPress podpira OAuth skozi vtičnik OAuth Server. OAuth je idealen za aplikacije, ki dostopajo do WordPress vsebine v imenu uporabnika - uporabnik avtorizira aplikacijo skozi WordPress prijavno stran, aplikacija dobi access token in ga uporabi za API klice. To je najvarnejša metoda za produkcijske aplikacije.

Ustvarjanje custom endpoint-a

Register REST Route

WordPress omogoča ustvarjanje custom API endpoint-ov za specifične potrebe vaše aplikacije. Uporabite funkcijo register_rest_route() v hook-u rest_api_init. Definirate namespace (npr. myplugin/v1), ruto (npr. /featured-posts), HTTP metodo (GET, POST), callback funkcijo, ki vrne podatke, in opcijsko permission_callback funkcijo za nadzor dostopa. Custom endpoint-i so uporabni za podatke, ki zahtevajo kompleksne poizvedbe, agregacije ali transformacije, ki jih standardni endpoint-i ne podpirajo.

Permission Callback

Permission callback funkcija nadzira, kdo lahko dostopa do endpoint-a. Za javne endpoint-e uporabite __return_true. Za zaščitene endpoint-e preverite uporabniška dovoljenja z uporabo funkcije current_user_can(). Na primer, endpoint za ustvarjanje objav naj preveri current_user_can('publish_posts'). Nikoli ne puščajte write endpoint-ov brez permission callback-a, saj to odpre stran za zlorabo.

Validacija in sanitizacija parametrov

Custom endpoint-i naj definirajo argumente z validacijo in sanitizacijo. Za vsak parameter definirate required (ali je obvezen), type (string, integer, boolean), validate_callback (funkcija, ki preverja veljavnost vrednosti) in sanitize_callback (funkcija, ki očisti vrednost pred uporabo). WordPress ponuja vgrajene sanitize funkcije, kot so sanitize_text_field(), absint() in sanitize_email(). Pravilna validacija preprečuje nepričakovane napake in varnostne ranljivosti.

Headless WordPress

Koncept headless CMS-a

Headless WordPress je arhitektura, kjer se WordPress uporablja samo kot backend (CMS) za upravljanje vsebine, medtem ko se frontend prikaz izvaja v popolnoma ločeni aplikaciji. WordPress REST API služi kot most med backend-om in frontend-om. Frontend je lahko izdelan v React-u, Vue.js-u, Next.js-u, Nuxt-u, Angular-u ali katerem koli drugem ogrodju. Prednosti so popoln nadzor nad frontend-om, boljša zmogljivost (statične strani namesto WordPress PHP renderiranja), možnost uporabe iste vsebine na spletni strani, mobilni aplikaciji in drugih platformah ter sodobne razvojne izkušnje (hot reloading, component-based arhitektura).

Next.js in WordPress

Kombinacija Next.js-a in WordPress-a je ena najbolj priljubljenih headless implementacij. Next.js zagotavlja server-side rendering (SSR), static site generation (SSG) in incremental static regeneration (ISR), kar privede do izjemno hitrih strani. Vsebina se fetch-a z WordPress REST API-ja med build-om (za SSG) ali na zahtevo (za SSR). Next.js Image komponenta samodejno optimizira slike, routing sistem pa preslika WordPress slug-e v strani. Mnoge velike strani uporabljajo to kombinacijo za blog sekcije, medtem ko preostanek strani uporablja custom komponente.

Izzivi headless pristopa

Headless WordPress ni brez izzivov. Izgubite WordPress teme in vizualni customizer - vse mora biti kodirano v frontend ogrodju. Vtičniki, ki generirajo frontend output (kontaktni obrazci, galerije, page builder-ji), ne delujejo v headless načinu. Preview funkcionalnost zahteva dodatno konfiguracijo. SEO vtičniki, kot je Yoast, generirajo meta podatke, vendar jih mora frontend prevzeti in pravilno prikazati. Komentarji, iskanje in paginacija morajo biti implementirani na frontend-u z uporabo API klicev. Headless pristop zahteva ekipo s frontend razvojnimi izkušnjami.

Varnost REST API-ja

Omejevanje dostopa

Privzeto je WordPress REST API javno dostopen in razkriva informacije o uporabnikih, objavah in strukturi strani. Za stran, ki ne uporablja API-ja, razmislite o omejevanju dostopa. REST API lahko deaktivirate za neavtenticirane uporabnike z uporabo filtra rest_authentication_errors, blokirate specifične endpoint-e (še posebej /wp/v2/users, ki razkriva uporabniška imena) ali uporabite vtičnik, kot je Disable WP REST API, za selektivno izklapljanje. Nikoli ne blokirajte REST API-ja v celoti, če uporabljate Gutenberg urejevalnik, saj je ta odvisen od API-ja.

Rate Limiting

REST API brez rate limiting-a se lahko zlorabi za brute force napade, scraping vsebine ali DDoS. Implementirajte rate limiting na ravni spletnega strežnika (Nginx limit_req modul, Apache mod_ratelimit) ali z uporabo WAF pravil. Cloudflare Rate Limiting je preprosta rešitev - omejite /wp-json/ endpoint na razumno število zahtevkov na minuto (npr. 60 za avtenticirane, 30 za neavtenticirane uporabnike).

Koristna orodja za delo z REST API-jem

• Postman: Grafično orodje za testiranje API klicev s podporo za vse HTTP metode, avtentifikacijo in zbirke zahtevkov.
• cURL: Ukazno orodje za HTTP zahtevke - idealno za hitro testiranje in skriptiranje.
• Insomnia: Sodobna alternativa Postman-u s čistim vmesnikom in GraphQL podporo.
• WP-CLI: WordPress ukazno orodje, ki interno uporablja REST API in omogoča upravljanje strani iz terminala.
• Thunder Client: VS Code razširitev za testiranje API-ja neposredno iz urejevalnika.

Zaključek

WordPress REST API odpira nove možnosti za uporabo WordPress-a izven tradicionalnega bloga ali strani. Ne glede na to, ali izdelujete mobilno aplikacijo, JavaScript frontend ali integrirate WordPress z drugimi sistemi, REST API zagotavlja standardiziran in dokumentiran način za dostop do vsebine. Za headless projekte kombinacija WordPress-a in sodobnega frontend ogrodja, kot je Next.js, ponuja najboljše iz obeh svetov - preprosto upravljanje vsebine in vrhunsko zmogljivost. Pri BeoHosting-u vsi hosting paketi za WordPress podpirajo REST API z optimiziranimi PHP in MySQL konfiguracijami za hitrejše API odgovore.