Moja prezentacja z WordUp Trójmiasto o tym jak wykorzystać REST API oraz o dobrych praktykach pracy z REST API

1. REST API
teoria i praktyka
Tomasz Dziuda
WordUp Trójmiasto 30.09.2017

2. Tak miało być...

7. {JSON}{JSO
N
}
{JSON}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}

8. a z reguły jest...

10. Co poszło nie tak?

11. add_filter('rest_enabled', '__return_false');
add_filter('rest_jsonp_enabled', '__return_false');
Security Checklist

12. Jeżeli projektujesz rozwiązanie
dla mas... nie licz na REST API

13. Jeżeli projektujesz rozwiązanie
dla mas... nie licz na REST API

14. Jednak wciąż możesz wykorzystać
REST API na wiele ciekawych
sposobów...

15. Zanim użyjesz REST API...

16. Włącz HTTPS

17. Źródło: https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

18. Źródło: https://jwt.io/

19. Uzyskiwanie tokena

20. Wysyłamy zapytaniem POST do endpointa /wp-json/jwt-auth/v1/token
login i hasło użytkownika, którego chcemy autoryzować:
{
username: 'admin',
password: 'password'
}
Uzyskiwanie tokena

21. Wysyłamy zapytaniem POST do endpointa /wp-json/jwt-auth/v1/token
login i hasło użytkownika, którego chcemy autoryzować:
{
username: 'admin',
password: 'password'
}
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ...",
"user_display_name": "admin",
"user_email": "admin@localhost.dev",
"user_nicename": "admin"
}
Gdy dane są poprawne otrzymujemy token i dane użytkownika:
Uzyskiwanie tokena

22. Do każdego zapytania wymagającego
autoryzacji dodajemy nagłówek:
Authorization: Bearer WARTOŚĆ_TOKENA

23. Wymuś autoryzację
klientów

24. Publiczne API to...

25. Brak kontroli nad dostępem
do danych
LOG

26. Ryzyko wycieku danych
https://example.com/wp-json/wp/v2/users

27. Możliwość określenia wersji
WordPressa
wp-json/wp/v2/posts - WordPress >= 4.7
wp-json/wp/v3/posts - WordPress > 5.*
wp-json/wp/v2/posts - WordPress < 4.7

28. Karmienie botów informacjami

29. Zwiększone zużycie
zasobów serwera
Crawler 1
Crawler 2
Crawler 3 Crawler 4
Crawler 5
Crawler 6

30. Jak ograniczyć dostęp?

31. Jak ograniczyć dostęp?
Całkowite wyłączenie REST API może
w przyszłości skutkować problemy z
działaniem niektórych funkcji kokpitu

32. Jak ograniczyć dostęp?
add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error(
'rest_not_logged_in',
'You are not currently logged in.',
array( 'status' => 401 )
);
}
return $result;
});
Źródło: https://developer.wordpress.org/rest-api/using-the-rest-api/frequently-asked-questions/#can-i-disable-the-rest-api

33. Jak ograniczyć dostęp?
Źródło: https://pl.wordpress.org/plugins/jwt-authentication-for-wp-rest-api/

34. Niektóre wtyczki nie będą
działać po wyłączeniu REST API

35. Źródło: https://wordpress.org/plugins/disable-json-api/
Wyłączenie wybranych endpointów

36. Źródło: https://wordpress.org/plugins/wp-rollback/
Bardziej brutalne podejście ;-)

37. Pamiętaj o CORS

38. Pamiętaj o CORS
Cross-Origin Resource Sharing

39. Pamiętaj o CORS
Cross-Origin Resource Sharing

40. function dziudek_rest_api_allow_all_cors() {
remove_filter('rest_pre_serve_request', 'rest_send_cors_headers');
add_filter('rest_pre_serve_request', function($value) {
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, PUT, DELETE');
header('Access-Control-Allow-Credentials: true');
return $value;
});
}
add_action('rest_api_init', 'dziudek_rest_api_allow_all_cors', 20);
Pamiętaj o CORS

41. JSONP

42. JSONP
<script src="https://test.com/wp-json/wp/v2/posts?_jsonp=parse">

43. JSONP
<script src="https://test.com/wp-json/wp/v2/posts?_jsonp=parse">
Pomijamy CORS

44. JSONP
/**/parse({
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
})

45. JSONP
/**/parse({
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
})

46. JSONP
/**/parse({
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
})

47. JSONP
function parse(input) {
console.log(input);
}
/wp-json/wp/v2/posts?_jsonp=parse

48. JSONP
/**/parse({
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
})

49. Podatność Rosetta Flash
https://blog.avira.com/understanding-rosetta-flash-vulnerability/

50. Nie psuj REST API

51. REST API jest/będzie używane
NIE tylko przez Ciebie

52. Unikaj modyfikowania domyślnych pól endpointów
add_filter('rest_prepare_POST_TYPE', ...
+
unset($endpoint->data['field']);

53. W razie potrzeby dodawaj brakujące dane jako nowe pola
add_filter('rest_prepare_POST_TYPE', ...
+
$endpoint->data['new_field'] = 'abc';

54. ... lub twórz własne endpointy
https://developer.wordpress.org/rest-api/extending-the-
rest-api/adding-custom-endpoints/

55. Staraj się nie modyfikować domyślnych parametrów
REST API
add_filter('rest_post_collection_params', 'prefix_per_page', 10, 1);
function prefix_per_page($params) {
if(isset( $params['per_page'])) {
$params['per_page']['maximum'] = 200;
}
return $params;
}

56. Wyposaż się w narzędzia

57. Postman
Źródło: https://www.getpostman.com/

58. Rozszerzenie JSON Viewer
Do pobrania: https://chrome.google.com/webstore/detail/json-viewer/gbmdgpbipfallnflgajpaliibnhdgobh

59. 5 przepisów na
wykorzystanie REST API

60. 1. Wymiana treści między
stronami

61. XML jest passé

62. JSON Feed
Źródło: https://jsonfeed.org/

63. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Nie musimy angażować kodu PHP

64. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Nie musimy angażować kodu PHP

65. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Szybsze ładowanie się strony (swoisty lazy load danych)

66. 80 MB w XML
nawet 10 MB jako JSON *
* Zysk zależy głównie od struktury danych, ale plik JSON w zasadzie zawsze będzie lżejszy.

67. 2. Eksport/import danych

68. JSON

69. Choć nie zawsze

70. Źródło: https://getpublii.com

71. Choć nie zawsze
• REST API może być wyłączone
• By mieć pełny dostęp do danych trzeba się
autoryzować, a Publii jest aplikacją desktopową, zatem
użytkownik musiałby zainstalować dodatkowy plugin
autoryzujący (np. poprzez JWT)

72. Choć nie zawsze
• REST API może być wyłączone
• By mieć pełny dostęp do danych trzeba się
autoryzować, a Publii jest aplikacją desktopową, zatem
użytkownik musiałby zainstalować dodatkowy plugin
autoryzujący (np. poprzez JWT)

73. 3. WordPress jako headless CMS

74. Źródło: https://www.contentful.com/

75. {JSON}{JSO
N
}
{JSON}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}

76. Źródło: https://www.slideshare.net/dziudek/electron-wordpress

77. Źródło: https://ma.tt/2017/09/on-react-and-wordpress/

78. Źródło: https://code.facebook.com/posts/300798627056246/relicensing-react-jest-flow-and-immutable-js/

80. Autoryzacja
Cookies we wszystkich wypadkach poza motywem SPA nie
zadziałają. Rozważ inne formy autoryzacji np. JWT

81. 4. Dedykowane panele
administracyjne

82. Źródło: https://developer.wordpress.com/calypso/

83. 5. Sprawdzenie wiedzy
publiki o WordPressie ;-)

85. Pytanie 1. Ile darmowych motywów znajduje się w oficjalnym repozytorium? ~5000
Pytanie 2. W której wersji WP dodano obsługę treści poprzez REST API? 4.7.0
Pytanie 3. Twórca WordPressa i CEO firmy Automattic to: Matt Mullenweg
Pytanie 4. Gdzie odbył się tegoroczny WordCamp Polska? W Lublinie
Pytanie 5. Która z poniższych licencji nie jest w pełni zgodna z licencją GPL? Apache
Pytanie 6. Które z poniższych nie jest alternatywą dla REST API? SCP
Pytanie 7. Jaka jest najstarsza gałąź WordPressa otrzymująca łatki bezpieczeństwa? 4.1
Pytanie 8. Które z poniższych nie jest metodą zapytania HTTP? REMOVE
Odpowiedzi do Quizu

86. Jak działa WordUp Quiz?

87. Jak działa WordUp Quiz?
• Pobierane są podstrony tworzące pytania
• Aplikacja je przetwarza przy ładowaniu
• Użytkownik odpowiada na pytania*
• Odpowiedzi są wysyłane do dedykowanego endpointu
• Endpoint zapisuje dane w bazie i zwraca wynik

88. Jak działa WordUp Quiz?
• Pobierane są podstrony tworzące pytania
• Aplikacja je przetwarza przy ładowaniu
• Użytkownik odpowiada na pytania*
• Odpowiedzi są wysyłane do dedykowanego endpointu
• Endpoint zapisuje dane w bazie i zwraca wynik

89. Jak działa WordUp Quiz?
• Pobierane są podstrony tworzące pytania
• Aplikacja je przetwarza przy ładowaniu
• Użytkownik odpowiada na pytania*
• Odpowiedzi są wysyłane do dedykowanego endpointu
• Endpoint zapisuje dane w bazie i zwraca wynik

90. Jak działa WordUp Quiz?
• Pobierane są podstrony tworzące pytania
• Aplikacja je przetwarza przy ładowaniu
• Użytkownik odpowiada na pytania*
• Odpowiedzi są wysyłane do dedykowanego endpointu
• Endpoint zapisuje dane w bazie i zwraca wynik

91. Jak działa WordUp Quiz?
• Pobierane są podstrony tworzące pytania
• Aplikacja je przetwarza przy ładowaniu
• Użytkownik odpowiada na pytania*
• Odpowiedzi są wysyłane do dedykowanego endpointu
• Endpoint zapisuje dane w bazie i zwraca wynik

92. Podsumujmy

93. Pamiętaj o:

94. Pamiętaj o:

95. Pamiętaj o:

96. Stosować REST API czy nie?

97. Realizujesz projekt dla konkretnego klienta
Stosować REST API czy nie?

98. Realizujesz projekt dla konkretnego klienta
Tworzysz ogólnodostępną
wtyczkę bazującą na REST API
Stosować REST API czy nie?

99. Stosować REST API czy nie?

100. Szukasz gotowego, łatwo rozszerzalnego
back-endu dla swojej aplikacji
Stosować REST API czy nie?

101. Szukasz gotowego, łatwo rozszerzalnego
back-endu dla swojej aplikacji
Wyłącz publiczny dostęp do REST API
jeśli go nie używasz
Stosować REST API czy nie?

102. Stosować REST API czy nie?

103. Nie potrzebujesz dostępu do REST API na
stronach na które nie masz wpływu
Stosować REST API czy nie?

104. Nie potrzebujesz dostępu do REST API na
stronach na które nie masz wpływu
Chcesz stworzyć usługę bazującą
na tym, że REST API jest włączone
Stosować REST API czy nie?

105. Pytania?

106. tomasz@dziuda.com
@dziudek
http://dziudek.pl
http://www.slideshare.net/dziudek
Tomasz Dziuda