基本認証ワードプレス REST APIのジレンマ
今日、私はWordPress REST APIの基本認証をテストしましたが、それは完璧に機能しました。しかし、これは危険な認証方法であると聞きました。人々はJSファイルなどを調べることができるので、これは理解できます。
しかし、私はユーザーがフォームに自分の資格情報を記入したい外部のアプリを持っています(ちょうど通常のWordPressサイトのように)。その後、ユーザーはアプリにログインし、自分のユーザー名の下にコメントを投稿することができます。機密データを公開する予定はありません。さらに、アプリにログインしたときに、ユーザーのユーザー名とアバターを表示したいだけです。管理者は投稿を更新/削除できるかもしれませんが、最も重要なことはREST APIを通してログインすることでユーザー/購読者が自分のユーザー名でコメントできることです。
私の質問は次のとおりです。BasicAuthはこれを行うのに適した方法ですか?状況によってはこれが危険になる可能性がありますが、機密データがまったく公開されず、ユーザーのパスワードがどこにも表示されないことがあります。
どう思うか教えてください。前もって感謝します。
基本認証は、非常に一般的なユーザー名/パスワード認証方法であり、ユーザー名とパスワードの組み合わせおよび使用しているプロトコルの暗号化と同じくらい強力です。
基本認証の弱点は、httpsの代わりにプレーンなhttpを使用した場合、ユーザー名とパスワードが中間者攻撃を受けやすいことです。
基本認証を使用できますが、SSL暗号化/ httpsを使用していることを確認してください。