Simplere Authentifizierungsprozesse im Verbund mit dem OAuth-Protokoll

WordPress stellt Authentification Broker für seine REST API-Integration vor
Kommentare

Erst im vergangenen Herbst wurde die REST API in den WordPress-Core integriert. Verständlicherweise sind deshalb noch sind nicht alle Probleme ausgemerzt, die mit der Aufrüstung des Content Management Systems aufgetreten sind. Dem durch REST teilweise verkomplizierten Authentifizierungsprozess wollen die WordPress-Macher jetzt durch einen sogenannten Authentification Broker auf die Sprünge helfen.

Insbesondere im Bezug auf externe Seiten erweist sich die Authentifizierung als schwieriges Unterfangen, wie Joe Hoyle im Ankündigungspost des neuen Tools schreibt. Wer einen Client mit mehreren Seiten verbinden möchte, hätte wegen der verteilten Funktionsweise von WordPress jede Seite einzeln zu registrieren.

Authentifizierungshürden in WordPress

WordPress nutzt das Authentifizierungsprotokoll OAuth, von dem es seit 2012 eine Version 2.0 gibt. Die Entwickler von WordPress haben sich aber dazu entschieden, weiter mit der ersten Version von OAuth zu arbeiten, da diese im Gegensatz zur Nachfolgeversion nicht HTTPS benötigt und mittlerweile über eine große Auswahl an Client Libraries für fast jede Sprache verfügt.

Das Problem bei der Authentifizierung innerhalb von verteilten Systemen liegt im Falle von WordPress bei der Application Discovery. Diese müssen vorab bei OAuth registriert werden, damit eine Schlüssel (Key) und ein Geheimnis (Secret) ausgegeben werden. Bei der Authentifizierung – etwa einer App mit Facebook – teilen sich beide Parteien das Secret.

Für Entwickler, die nur mit einer WordPress-Seite arbeiten, ist das kein Problem. Wo aber mehrere Seiten im Spiel sind, müsste eine App für jede von ihnen über Schlüssel und Geheimnis verfügen, d.h. die Daten zur Registrierung müssten allesamt in die App kopiert werden – ein komplizierter Prozess, wie Hoyle schreibt:

For distributable apps, this would require users to register your application manually on their site, then go through the usual OAuth process. This is the process that open source plugins typically have to do for Facebook and Twitter authentication, and it’s generally a terrible experience.

Der Authentification Broker

Durch eine separate Application Registry wollen die WordPress-Macher das Problem lösen. Diese kann als Autorität genutzt werden, die determiniert, welche Apps sich mit WordPress verbinden können. Entwickler können bei der Erstellung einer App auf diesen Broker zurückgreifen, um mit einem Key- und Secret-Paar auf alle WordPress-Seiten zugreifen zu können, die mit auf den Broker verweisen. Auf Basis des OAuth-Prozesses braucht der Broker dann bei Authentifizierungsprozessen nur noch von App und Seite anerkannt werden, so die Entwickler weiter.

Gleich testen

Die Entwickler des erfolgreichen CMS haben bereits einen Default Broker veröffentlicht, mit dem App- sowie WordPress-Entwickler sich ausprobieren können. Als nächstes Ziel wird angegeben, das Broker-PlugIn  zunächst in das OAuth-PlugIn und auf lange sich in den Core zu integrieren. Weitere Information zum Broker finden sich auf der Downloadpage und in den Spezifikationen. Der Broker-Server, ein Beispiel-Client und das Theme sind ebenfalls auf GitHub verfügbar.

Aufmacherbild: Evan Lorne / Shutterstock.com

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -