Можно пример реализации запроса(?) WP + WP OAuth Server + SPA?
В интернете полно примеров как получить пост пост и прочее с новыми фичами wp путем добавления ?access_token={the_access_token} к ссылке запроса. Но тут задача немного другого рода.
Есть приложение JS на реакте (запуск скрипта на стороне клиента), и у них с wp разные базы данных. Как реализовать запросы к приложению только от зарегистрированных пользователей wp со специального раздела сайта (./APP/admin/* и ./APP/user/*)? Если можно статью или урок подскажите.
Спасибо. Я бегло просмотрел и вижу то же самое что и во всех остальных туториалах, а точнее не вижу.
Как обеспечить отклик от приложения только с этих конкретных разделов и пользователей и наоборот. Они стараются сам сайт закрыть, а приложение получается раздает всю информацию без логина или нужно еще раз логиниться?
Как тогда безопасный post метод организовать с токинами и прочим от приложения? Хочется решение посмотреть где два модуля oauth (или один общий) общаются друг с другом с разными правами для разных пользователей... не хочется велосипед изобретать...
Ninja Mate: так по тому они и одинаковые, что другого варианта авторизации нет.
То, что у вас получило js приложение и сохранило на клиенте, защитить нельзя. Нельзя отдать js приложению какие-то данные с сервера, и чтоб оно позже решало, кому из пользователей их передать (теоретически можно, но на практике не получится).
Все проверки/авторизации можно делать только на стороне сервера, тем кодом, к которому у пользователя доступа нет.
Поэтому, если нужны данные только для зарегистрированных пользователей, то забирать их нужно с сервера, и при этом вам нужно будет пользователя "залогинить".
dimasmagadan: спасибо) у меня прямо прояснилось.) делаю когда компайлю chank разные для ролей пользователей и они только и получают доступ к коду. Позже когда запустится node сервер там нужно придумать API модуль с токенами (нужно поискать туториалы)... Вот остается вопрос безопасности приложения, получается что оно открыто для всех запросов... может какую нибудь фичу придумать защищенного соединения или отклонять запросы с других ip кроме сервера? Посоветуйте
Ninja Mate: вы подождите, мой совет как абсолютную истину не принимайте)
Все-таки не совсем понятно, что и как у вас работает.
Вполне возможно, что в вашем случае будет лучше как-то по другому сделать.
>отклонять запросы с других ip кроме сервера
если код приложения у вас выполняется на клиенте, то ip адрес запроса не будет равен ip адресу сервера.
Если же вы хотите проверять ip адрес в самом приложении, получая его с сервера, то опять же - к коду js приложения доступ есть у пользователя (если я вас правильно понял, и приложение у вас на клиенте работает), все проверки он может в нем отменить/пройти
dimasmagadan: так и есть, код на клиенте, но можно же через nonce же можно запросы запустить. А работает все следующим образом - Работодатель сделал первую версию приложения на черт знает чем mysql + js и иммитацией проверки пароля (точнее все проверяется, но код на стороне клиента...), все в таком виде пошло в продакшен и 50 пользователей заносят данные в бд день и ночь.... теперь задача разработать приложение v2 что то похожее на админ панель и закрыть доступ к бд пока никто не понял что где и как, потом планируется v3 где все будет на сервере обрабатываться (react js+mongo) и увеличить нагрузку до 5000 юзеров.
Простой
Средний