Prezentacja traktująca o praktycznych i teoretycznych aspektach wykorzystania REST API w swoich projektach.

1. REST API
teoria i praktyka
Tomasz Dziuda
WordUp Warszawa 27.09.2017

2. Tak miało być...

7. {JSON}{JSO
N
}
{JSON}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}

8. a z reguły jest...

10. Co poszło nie tak?

11. add_filter('rest_enabled', '__return_false');
add_filter('rest_jsonp_enabled', '__return_false');
Security Checklist

12. Jeżeli projektujesz rozwiązanie
dla mas... nie licz na REST API

13. Jeżeli projektujesz rozwiązanie
dla mas... nie licz na REST API

14. Jednak wciąż możesz wykorzystać
REST API na wiele ciekawych
sposobów...

15. Zanim użyjesz REST API...

16. Włącz HTTPS

17. Źródło: https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

18. Źródło: https://jwt.io/

19. Uzyskiwanie tokena

20. Wysyłamy zapytaniem POST do endpointa /wp-json/jwt-auth/v1/token
login i hasło użytkownika, którego chcemy autoryzować:
{
username: 'admin',
password: 'password'
}
Uzyskiwanie tokena

21. Wysyłamy zapytaniem POST do endpointa /wp-json/jwt-auth/v1/token
login i hasło użytkownika, którego chcemy autoryzować:
{
username: 'admin',
password: 'password'
}
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ...",
"user_display_name": "admin",
"user_email": "admin@localhost.dev",
"user_nicename": "admin"
}
Gdy dane są poprawne otrzymujemy token i dane użytkownika:
Uzyskiwanie tokena

22. Do każdego zapytania wymagającego
autoryzacji dodajemy nagłówek:
Authorization: Bearer WARTOŚĆ_TOKENA

23. Wymuś autoryzację
klientów

24. Publiczne API to...

25. Brak kontroli nad dostępem
do danych

26. Ryzyko wycieku danych

27. Możliwość określenia wersji
WordPressa

28. Karmienie botów
informacjami

29. Zwiększone zużycie
zasobów serwera

30. Jak ograniczyć dostęp?

31. Jak ograniczyć dostęp?
1) https://developer.wordpress.org/rest-api/using-the-rest-api/frequently-asked-
questions/#can-i-disable-the-rest-api
2) https://gist.github.com/ccurtin/8982d51b6cafa5864fe25884b1fe5a25
3) https://wordpress.stackexchange.com/questions/150207/wordpress-json-api-
restrict-to-specific-domain

32. Jak ograniczyć dostęp?
Całkowite wyłączenie REST API może
w przyszłości skutkować problemy z
działaniem niektórych funkcji kokpitu

33. Niektóre wtyczki nie będą
działać po wyłączeniu REST API

34. Pamiętaj o CORS

35. Pamiętaj o CORS
Cross-Origin Resource Sharing

36. Pamiętaj o CORS
Cross-Origin Resource Sharing

37. function dziudek_rest_api_allow_all_cors() {
remove_filter('rest_pre_serve_request', 'rest_send_cors_headers');
add_filter('rest_pre_serve_request', function($value) {
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, PUT, DELETE');
header('Access-Control-Allow-Credentials: true');
return $value;
});
}
add_action('rest_api_init', 'dziudek_rest_api_allow_all_cors', 20);
Pamiętaj o CORS

38. Użyj JSONP
http://dziudek.pl/wp-json/wp/v2/posts?_jsonp=parseData
/**/receiveData(
{
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
}
)

39. Użyj JSONP
http://dziudek.pl/wp-json/wp/v2/posts?_jsonp=parseData
/**/receiveData(
{
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
}
)

40. Użyj JSONP
http://dziudek.pl/wp-json/wp/v2/posts?_jsonp=parseData
/**/parseData(
{
code: "rest_not_logged_in",
message: "You are not currently logged in.",
data:
{
status: 401
}
}
)

41. Nie psuj REST API

42. Nie psuj REST API
1. Unikaj modyfikowania domyślnych pól endpointów
2. W razie potrzeby dodawaj brakujące dane jako nowe pola...
3. ... lub twórz własne endpointy
4. Staraj się nie modyfikować domyślnych parametrów REST
API (np. maksymalny rozmiar odpowiedzi)

43. Nie psuj REST API
1. Unikaj modyfikowania domyślnych pól endpointów
2. W razie potrzeby dodawaj brakujące dane jako nowe pola...
3. ... lub twórz własne endpointy
4. Staraj się nie modyfikować domyślnych parametrów REST
API (np. maksymalny rozmiar odpowiedzi)

44. Nie psuj REST API
1. Unikaj modyfikowania domyślnych pól endpointów
2. W razie potrzeby dodawaj brakujące dane jako nowe pola...
3. ... lub twórz własne endpointy
4. Staraj się nie modyfikować domyślnych parametrów REST
API (np. maksymalny rozmiar odpowiedzi)

45. Nie psuj REST API
1. Unikaj modyfikowania domyślnych pól endpointów
2. W razie potrzeby dodawaj brakujące dane jako nowe pola...
3. ... lub twórz własne endpointy
4. Staraj się nie modyfikować domyślnych parametrów REST
API (np. maksymalny rozmiar odpowiedzi)

46. Wyposaż się w narzędzia

47. Postman
Źródło: https://www.getpostman.com/

48. 4 przepisy na wykorzystanie
REST API

49. 1. Wymiana treści między
stronami

50. XML jest passé

51. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Nie musimy angażować kodu PHP

52. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Nie musimy angażować kodu PHP

53. XML jest passé
• JSON można łatwiej obsłużyć z poziomu klienta
• Nie zawsze musimy się martwić o CORS (JSONP)
• Szybsze ładowanie się strony (swoisty lazy load danych)

54. JSON Feed
Źródło: https://jsonfeed.org/

55. 2. Eksport/import danych

56. Choć nie zawsze

57. Źródło: https://getpublii.com

58. Choć nie zawsze
• REST API może być wyłączone
• By mieć pełny dostęp do danych trzeba się
autoryzować, a Publii jest aplikacją desktopową, zatem
użytkownik musiałby zainstalować dodatkowy plugin
autoryzujący (np. poprzez JWT)

59. Choć nie zawsze
• REST API może być wyłączone
• By mieć pełny dostęp do danych trzeba się
autoryzować, a Publii jest aplikacją desktopową, zatem
użytkownik musiałby zainstalować dodatkowy plugin
autoryzujący (np. poprzez JWT)

60. 3. WordPress jako headless CMS

61. Źródło: https://www.contentful.com/

62. {JSON}{JSO
N
}
{JSON}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSO
N
}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}
{JSON}

63. Źródło: https://www.slideshare.net/dziudek/electron-wordpress

64. Źródło: https://ma.tt/2017/09/on-react-and-wordpress/

65. Źródło: https://code.facebook.com/posts/300798627056246/relicensing-react-jest-flow-and-immutable-js/

67. Autoryzacja
Cookies we wszystkich wypadkach poza motywem SPA nie
zadziałają. Rozważ inne formy autoryzacji np. JWT

68. 4. Sprawdzenie wiedzy
publiki o WordPressie ;-)

70. Podsumujmy

71. Pamiętaj o:

72. Pamiętaj o:

73. Pamiętaj o:

74. Stosować REST API czy nie?

75. Realizujesz projekt dla konkretnego klienta
Stosować REST API czy nie?

76. Realizujesz projekt dla konkretnego klienta
Tworzysz ogólnodostępną
wtyczkę bazującą na REST API
Stosować REST API czy nie?

77. Stosować REST API czy nie?

78. Szukasz gotowego, łatwo rozszerzalnego
back-endu dla swojej aplikacji
Stosować REST API czy nie?

79. Szukasz gotowego, łatwo rozszerzalnego
back-endu dla swojej aplikacji
Wyłącz publiczny dostęp do REST API
jeśli go nie używasz
Stosować REST API czy nie?

80. Stosować REST API czy nie?

81. Nie potrzebujesz dostępu do REST API na
stronach na które nie masz wpływu
Stosować REST API czy nie?

82. Nie potrzebujesz dostępu do REST API na
stronach na które nie masz wpływu
Chcesz stworzyć usługę bazującą
na tym, że REST API jest włączone
Stosować REST API czy nie?

83. Pytania?

84. tomasz@dziuda.com
@dziudek
http://dziudek.pl
http://www.slideshare.net/dziudek
Tomasz Dziuda