Quais escopos exatamente a chave da API do Wordpress precisa?

mattdm · Janeiro 11, 2021, 8:57pm

Prefiro não fornecer uma chave de API global para o plugin do WordPress. Não quero que um comprometimento do site do WordPress resulte na exclusão (ou edição, ou desconexão) de contas de usuários. No entanto, limitar os escopos por tentativa e erro parece gerar resultados estranhos (como a incapacidade de carregar subcategorias).

Quais escopos são realmente necessários para que isso funcione?

Falco · Janeiro 11, 2021, 10:24pm

Como o WordPress antecedeu os escopos da API de Administração por vários anos, duvido que funcione com ele.

É uma solicitação de recurso interessante.

mattdm · Janeiro 11, 2021, 10:37pm

Eu realmente agradeceria. A chave de API global pode fazer muitas coisas, e estamos usando nossa instância do Discourse para mais do que apenas comentários de blog, então seria bom mantê-la restrita apenas ao que ela precisa.

mattdm · Janeiro 11, 2021, 11:29pm

Seria melhor que esse pedido de recurso ficasse nesta categoria ou em “recursos”?

angus · Janeiro 12, 2021, 7:36am

Estou pensando exatamente a mesma coisa! (Atualmente, mantenho o plugin). Este é o local correto para levantar o assunto.

Vou discutir com @simon e retorno para você.

mattdm · Dezembro 11, 2021, 5:47pm

@angus Isso progrediu em algo? Gostaríamos de usar isso em um de nossos sites WordPress onde temos um conjunto de usuários com acesso de administrador que não é estritamente controlado, e eu não quero que isso seja uma escalada para acesso de administrador total em nosso site Discourse.

angus · Dezembro 14, 2021, 5:55am

Ei Matt, obrigado por me lembrar disso. Darei uma resposta completa até o final da semana.

angus · Dezembro 20, 2021, 2:15am

@mattdm Uma atualização sobre isso. Estou preparando alterações que permitirão gerar uma chave de API com escopos específicos para o conjunto de recursos do plugin WP Discourse que você está usando.

Isso exigirá alterações no Discourse principal, portanto, está sujeito a aprovação. Manterei você atualizado esta semana à medida que eu fizer um PR.

angus · Dezembro 20, 2021, 9:50am

@mattdm Atualização: existem dois PRs em rascunho que buscam resolver isso. Como mencionado, a abordagem precisará ser aprovada primeiro. Notas mais explicativas no PR do discourse/discourse.

github.com/discourse/discourse

Update wordpress scopes and add ``session/scopes`` endpoint

main ← angusmcleod:fix_wordpress_scopes

opened 09:46AM - 20 Dec 21 UTC

angusmcleod

+54 -4

I'm looking to add granular API key usage for the WP Discourse plugin. This invo…lves: - Updating the "wordpress" default mappings to reflect the actions being used by the plugin, grouped by the feature-set they relate to (note that the existing "wordpress" action in the "topic" resource only relates to comment retrieval in the plugin, and is somewhat confusing in its current state). - Adding a ``session/scopes`` endpoint, which returns the scopes associated with the api key in the request. This is the companion PR on the plugin, which will provide further context to this: https://github.com/discourse/wp-discourse/pull/431. See in particular [``validate_scopes``](https://github.com/discourse/wp-discourse/pull/431/files#diff-5fd9ce264afeb5f617119db36e34a2e5a33f605527ac6fa9ee761b8123f1a17eR185). If this approach is acceptable, I'll do some more testing before moving this out of draft. Below are some Q/A explaining my thinking behind this. ### Why does the wordpress plugin need granular scopes? Currently the plugin requires the use of a global key, but only uses a subset of the actions, creating more risk than necessary. [See for example](https://meta.discourse.org/t/what-scopes-exactly-does-the-wordpress-api-key-need/175812). ### Why group the scopes by feature set? This is how people use the plugin. Some use only SSO, some only publishing, some without comments etc. If a user is not using SSO they should be able to use a key that doesn't include the ``admin/user`` actions SSO requires. Currently the "publishing" feature set cannot be totally disabled in the plugin (hence the "(required)" in the action description), however the ability to disable it (and just use SSO) may be added. ### Why add a ``session/scopes`` endpoint? The WP Discourse plugin currently sends a request to ``/users/:username`` to test its connection to Discourse. This may be successful even if the allowed scopes are insufficient for how the plugin is configured. A scopes endpoint tells the API consumer both whether the connection is successful and what scopes their key has. There's similar implementations in other APIs, e.g [Sendgrid](https://docs.sendgrid.com/api-reference/api-key-permissions/retrieve-a-list-of-scopes-for-which-this-user-has-access). ### Why add the ``scopes`` endpoint to the session controller? The endpoint could go in a few different places. I figured it belonged there as essentially you're asking about the scopes in the session created when the api-authenticated request is made. ### Why not use a ``tokeninfo`` endpoint? ``tokeninfo`` endpoints are part of the OAuth 2.0 spec, which is not what we're dealing with here. Using it may be confusing.

mattdm · Abril 8, 2022, 6:35pm

Parece que isso estagnou. Gostaria de usar este plugin para a Fedora Magazine, que tem uma política de acesso bastante aberto por design — ainda mais do que o Fedora Community Blog com o qual o estamos usando atualmente. Alguma notícia, por acaso?

angus · Abril 9, 2022, 10:03am

Obrigado pela solicitação @mattdm, e bom timing, pois tenho em minha agenda para retomar isso na próxima semana, agora que houve algum movimento no PR do Discourse. Darei uma atualização sobre isso na próxima semana.

angus · Abril 18, 2022, 1:07pm

Apenas uma observação de que a parte do Discourse deste item foi enviada para revisão (ou seja, movida do rascunho).\n\nhttps://github.com/discourse/discourse/pull/15366\n\nAssim que isso for mesclado, a parte do WP Discourse poderá ser mesclada e lançada.

angus · Maio 24, 2022, 4:34pm

@mattdm Escopos granulares agora estão disponíveis no WP Discourse 2.4.3 . Se você estiver usando a versão mais recente do Discourse e a versão mais recente do plugin, poderá usá-los. Publicarei um guia completo sobre como usá-los ainda esta semana.

editar Aqui está o guia!

Tópico		Respostas	Visualizações
Use scoped API Keys Integrations rest-api , how-to	6	2799	26 de Setembro de 2020
I need API for wordpress discourse plugin WordPress	4	96	22 de Janeiro de 2025
Connect WP Discourse to Discourse Administrators wordpress , video , how-to	7	3430	22 de Fevereiro de 2025
Wordpress plugin - can't find admin api key WordPress	12	3047	9 de Fevereiro de 2021
Get an API key's scopes and user level via the API Development rest-api	0	619	16 de Novembro de 2023

Quais escopos exatamente a chave da API do Wordpress precisa?

Tópicos relacionados