Español
es

Función wp_get_current_user() no funciona en callback de API REST

4 abr 2018, 23:08:41
Vistas: 18.1K
Votos: 17

Considera la siguiente clase.

<?php
class MCQAcademy_Endpoint extends WP_REST_Controller {

    /**
     * Registra las rutas para los objetos del controlador.
     */
    public function register_routes() {
        $version = '1';
        $namespace = 'custompath/v' . $version;
        $base = 'endpointbase';

        register_rest_route(
            $namespace,
            '/' . $base,
            array(
                array(
                    'methods'         => WP_REST_Server::READABLE,
                    'callback'        => array( $this, 'get_items' ),
                    'permission_callback' => array( $this, 'get_items_permissions_check' ),
                    'args'            => array(),
                )
            )
        );
    }

    /**
     * Obtiene los items
     */
    public function get_items( $request ) {
        $rs = array(
            'data' => array(),
            'request' => array(
                'lang' => 'en',
            ),
        );

        $args = array();
        $items = get_posts( $args );

        foreach( $items as $item ) {
            $itemdata = $this->prepare_item_for_response( $item, $request );
            $rs['data'][] = $this->prepare_response_for_collection( $itemdata );
        }

        $rs['wp_get_current_user'] = wp_get_current_user(); // No devuelve lo esperado

        return new WP_REST_Response( $rs, 200 );
    }

    /**
     * Verifica si una solicitud dada tiene acceso para obtener items
     */
    public function get_items_permissions_check( $request ) {
        return true; // para hacerlo legible por todos
    }


    /**
     * Prepara el item para operaciones de creación o actualización
     */
    protected function prepare_item_for_database( $request ) {
        return $request;
    }

    /**
     * Prepara el item para la respuesta REST
     */
    public function prepare_item_for_response( $item, $request ) {
        $data = array(
            'ID' => $item->ID,
            'post_content' => wpautop($item->post_content),
            'post_title' => $item->post_title,
        );

        return $data;
    }

    /**
     * Obtiene los parámetros de consulta para colecciones
     */
    public function get_collection_params() {
        return array(
            'page'     => array(
                'description'        => 'Página actual de la colección.',
                'type'               => 'integer',
                'default'            => 1,
                'sanitize_callback'  => 'absint',
            ),
            'per_page' => array(
                'description'        => 'Número máximo de items a devolver en el conjunto de resultados.',
                'type'               => 'integer',
                'default'            => 10,
                'sanitize_callback'  => 'absint',
            ),
            'search'   => array(
                'description'        => 'Limitar resultados a aquellos que coincidan con un string.',
                'type'               => 'string',
                'sanitize_callback'  => 'sanitize_text_field',
            ),
        );
    }

    // Registra nuestro servidor REST
    public function hook_rest_server(){
        add_action( 'rest_api_init', array( $this, 'register_routes' ) );
    }
}

$myEndpoint = new MCQAcademy_Endpoint();
$myEndpoint->hook_rest_server();

Todo funciona correctamente excepto cuando se llama a la función wp_get_current_user() en la función get_items(), que devuelve un usuario vacío a pesar de que el usuario está logueado en el sitio web.

rest api
0
Todas las respuestas a la pregunta 4
10
17

Iniciar sesión en tu sitio web no significa que el usuario esté autenticado en la solicitud de la API REST, por eso no estás obteniendo el usuario correcto o un Id = 0

Por favor, revisa los métodos de autenticación de la API REST en la documentación:
https://developer.wordpress.org/rest-api/using-the-rest-api/authentication/

Para desarrolladores que realizan solicitudes Ajax manuales, el nonce deberá pasarse con cada solicitud. La API utiliza nonces con la acción establecida en wp_rest. Estos se pueden pasar a la API a través del parámetro de datos _wpnonce (ya sea en datos POST o en la consulta para solicitudes GET), o a través del encabezado X-WP-Nonce. Si no se proporciona un nonce, la API establecerá el usuario actual en 0, convirtiendo la solicitud en una solicitud no autenticada, incluso si has iniciado sesión en WordPress.

Para autenticación remota, recomendaría el plugin JWT para comenzar rápidamente:

O puedes usar los sugeridos en la documentación:

5 abr 2018 00:24:57
Comentarios

Necesito el ID de usuario si el usuario ha iniciado sesión en el sitio. Como el endpoint es abierto, no es necesario verificar permisos.

Shah Alom Shah Alom
5 abr 2018 00:36:18

Esta línea siempre devuelve falso incluso cuando el usuario ha iniciado sesión en el sitio web. $rs['wp_get_current_user'] = is_user_logged_in() ? get_current_user_id() : false;

Shah Alom Shah Alom
5 abr 2018 00:46:36

Hola @ShahAlom como mencioné en mi respuesta, un usuario con sesión iniciada en el sitio web no es lo mismo que un usuario autenticado en la REST API, por favor revisa los métodos de autenticación de la REST API en la documentación: https://developer.wordpress.org/rest-api/using-the-rest-api/authentication/

Pabamato Pabamato
5 abr 2018 00:52:10

Para autenticación mediante cookies: Para desarrolladores que realizan solicitudes Ajax manuales, el nonce deberá pasarse con cada solicitud. La API utiliza nonces con la acción establecida como wp_rest. Estos pueden pasarse a la API a través del parámetro de datos _wpnonce (ya sea en datos POST o en la consulta para solicitudes GET), o a través de la cabecera X-WP-Nonce. Si no se proporciona un nonce, la API establecerá el usuario actual en 0, convirtiendo la solicitud en una solicitud no autenticada, incluso si estás conectado a WordPress.

Pabamato Pabamato
5 abr 2018 00:53:39

Por favor actualiza tu respuesta con este último comentario para que pueda aceptarla como solución.

Shah Alom Shah Alom
5 abr 2018 23:02:23

Incluso con autenticación JWT, aún necesitas pasar la cabecera X-WP-Nonce para obtener el usuario actual, por ejemplo si necesitas acceder a users/me sigue devolviendo 401, lo mismo para consultar usuarios por rol, y así sucesivamente. Las solicitudes AJAX "no manuales" son "especiales" solo porque el cliente oficial de la API incluye esa cabecera, pero nada más.

Jesús Franco Jesús Franco
7 abr 2018 08:14:18

@JesúsFranco según mi experiencia usando el plugin JWT, no es necesario enviar ningún encabezado adicional, solo el encabezado Authorization con el token generado previamente para autenticación, /wp-v2/users/me funciona para mí

Pabamato Pabamato
8 abr 2018 07:22:41

Hmm, eso me hace pensar qué podría ser diferente entre configuraciones, ¿la versión del plugin? ¿Del core?

Jesús Franco Jesús Franco
9 abr 2018 21:36:53

Pensando en cuáles podrían ser las diferencias, he observado dos tipos de solicitudes que son prohibidas sin usar el nonce, y también permitidas sin él. La diferencia que he notado es el entorno de la solicitud. Las solicitudes a través de un script PHP se permiten con solo el Token, las solicitudes a través del navegador no se permiten sin el nonce.

Jesús Franco Jesús Franco
9 abr 2018 21:48:20

@JesúsFranco tienes razón, para las peticiones del lado del servidor (mi caso), el token será suficiente, para llamadas AJAX manuales/del lado del cliente, debes incluir el nonce para evitar CSRF, no es necesario incluir el token ya que ya tienes un usuario logueado y el lado del cliente está basado en cookies

Pabamato Pabamato
10 abr 2018 22:40:45
Mostrar los 5 comentarios restantes
0
8

Si llega una llamada API que no tiene un nonce establecido, WordPress desautenticará la solicitud, eliminando al usuario actual y haciendo que la solicitud no esté autenticada. Esta protección CSRF es automática, y no tienes que hacer nada para que funcione, aparte de incluir el nonce.

La forma de resolver esto es incluir un nonce. Algo como esto:

$_wpnonce = wp_create_nonce( 'wp_rest' );
echo "<input type = 'hidden' name = '_wpnonce' value = '$_wpnonce' />";

E inclúyelo en tu solicitud API. El nonce debe llamarse "_wpnonce" y la acción debe ser "wp_rest" para que la API funcione. Puede ir en la URL o en el cuerpo del post.

6 feb 2020 20:27:55
3
6

Para tener un ejemplo de código completamente funcional, aquí presentamos un plugin de ejemplo sobre cómo recuperar el ID del usuario actual mediante REST.

my-plugin.php

class MyPlugin {

  public function __construct() {

    add_action('wp_enqueue_scripts', [$this, 'scripts']);
    add_action('rest_api_init', [$this, 'rest']);
  }

  function scripts() {

    // Agregar JS
    wp_enqueue_script('my-plugin', plugin_dir_url(__FILE__) . 'js/scripts.js', ['jquery'], NULL, TRUE);
    // Pasar nonce a JS
    wp_localize_script('my-plugin', 'MyPluginSettings', [
      'nonce' => wp_create_nonce('wp_rest'),
    ]);
  }

  function rest() {

    // Registrar ruta
    register_rest_route('my-plugin/v1', '/uid', [
      'methods'  => WP_REST_Server::READABLE,
      'callback' => [$this, 'rest_callback'],
    ]);
  }

  function rest_callback($data) {

    // Obtener ID del usuario actual
    $data = [
      'uid' => get_current_user_id(),
    ];

    $response = new WP_REST_Response($data, 200);
    // Establecer cabeceras
    $response->set_headers(['Cache-Control' => 'must-revalidate, no-cache, no-store, private']);

    return $response;
  }

}

new MyPlugin();

js/scripts.js

(function($) {

  $(document).ready(function() {

    var settings = MyPluginSettings;

    $.ajax({
      url: '/wp-json/my-plugin/v1/uid',
      method: 'GET',
      beforeSend: function(xhr) {
        xhr.setRequestHeader('X-WP-Nonce', settings.nonce);
      }
    }).done(function(response) {

      // Devolverá tu UID
      console.log(response);
    });

  });

})(jQuery);

Recurso: https://developer.wordpress.org/rest-api/using-the-rest-api/authentication/

26 feb 2019 12:40:20
Comentarios

No entiendo cómo se pasa 'MyPluginSettings' al script. Cosas a considerar: actualmente no estoy usando JQuery sino JavaScript "vanilla"... Solía insertar mi script en etiquetas HTML <script> cuando lo necesitaba, pero intenté incluirlos con wp_enqueue_script y tuve el mismo problema.

TTT TTT
10 abr 2019 21:00:47

Lo resolví, había escrito una ruta incorrecta al adaptarlo para wp_enqueue_script(). Además, tenía múltiples scripts, y recién entendí que el primer parámetro de wp_enqueue_script() no es específico del plugin sino del script (quizás deberías cambiar 'my-plugin' en tu respuesta porque es confuso).

TTT TTT
10 abr 2019 21:12:41

@TTT – ¿Cambiarlo por my-script por ejemplo? Sí, solo debería ser un nombre de handle único, que a menudo contiene el nombre del plugin o tema.

norman.lol norman.lol
10 abr 2019 23:38:52
0
1

wp_get_current_user() no funciona porque tu usuario no está configurado correctamente. Consulta el siguiente código en /wp-includes/user.php como referencia.

if ( ! empty( $current_user ) ) {
    if ( $current_user instanceof WP_User ) {
        return $current_user;
    }

    // Actualizar de stdClass a WP_User
    if ( is_object( $current_user ) && isset( $current_user->ID ) ) {
        $cur_id       = $current_user->ID;
        $current_user = null;
        wp_set_current_user( $cur_id );
        return $current_user;
    }

    // $current_user tiene un valor incorrecto. Forzarlo a WP_User con ID 0.
    $current_user = null;
    wp_set_current_user( 0 );
    return $current_user;
}

if ( defined( 'XMLRPC_REQUEST' ) && XMLRPC_REQUEST ) {
    wp_set_current_user( 0 );
    return $current_user;
}

Todo lo que necesitas hacer es wp_set_current_user( {user_id} ) al inicio de tu API.

17 abr 2019 09:05:38
Preguntas relacionadas
Verificar si un valor de meta clave ya existe
4
respuestas
WordPress 4.8.1 usa mysql_connect que no funciona con PHP 7
4
respuestas
Cómo buscar por categorías y/o etiquetas
2
respuestas
Eliminar el slug de tipos de contenido personalizados de la URL
4
respuestas
Cambiar URL de elementos del menú
3
respuestas
Cómo habilitar enlaces permanentes jerárquicos para taxonomías jerárquicas
4
respuestas