## Cookie驗證 Cookie認證是包含的標準認證方法WordPress。當您登錄到儀表板時，這將正確設置Cookie對于你來說，插件和主題開發者只需要登錄用戶。 然而，REST API包括一種名為nonces的技術來避免CSRF問題。這樣可以防止其他站點強制您未明確地執行操作打算這樣做這需要稍微特別處理API。 對于使用內置Javascript API的開發人員，這是自動處理的為你。這是推薦使用API??插件和主題的方法。自定義數據模型可以擴展wp.api.models.Base以確保發送正確地為任何自定義請求。 對于開發手工Ajax請求的開發人員，需要傳遞該隨機數與每個請求。 API使用的是將動作設置為wp_rest的隨機數。這些然后可以通過_wpnonce數據參數（POST）傳遞給API數據或查詢GET請求），或通過X-WP-Nonce頭。 >[warning] 注意：直到最近，大多數軟件對DELETE請求都有很多支持。 對于例如，PHP不會將DELETE請求的請求體轉換為超級全球。 因此，將隨機數作為標題提供是最可靠的方法。 重要的是要記住，這種認證方法依賴于WordPress 餅干。 因此，此方法僅在內部使用REST API時適用 的WordPress和當前用戶登錄。此外，當前用戶必須 具有執行正在執行的動作的適當能力。 例如，這是內置的JavaScript客戶端如何創建的隨機數： ``` <?php wp_localize_script( 'wp-api', 'wpApiSettings', array( 'root' => esc_url_raw( rest_url() ), 'nonce' => wp_create_nonce( 'wp_rest' ) ) ); ``` 然后在基本模型中使用它： ``` options.beforeSend = function(xhr) { xhr.setRequestHeader('X-WP-Nonce', wpApiSettings.nonce); if (beforeSend) { return beforeSend.apply(this, arguments); } }; ``` 以下是使用jQuery AJAX編輯帖子標題的示例： ``` $.ajax( { url: wpApiSettings.root + 'wp/v2/posts/1', method: 'POST', beforeSend: function ( xhr ) { xhr.setRequestHeader( 'X-WP-Nonce', wpApiSettings.nonce ); }, data:{ 'title' : 'Hello Moon' } } ).done( function ( response ) { console.log( response ); } ); ``` ## 認證插件 雖然Cookie身份驗證是WordPress本身可用的唯一身份驗證機制，但可以添加插件以支持將從遠程應用程序工作的替代認證模式。 一些示例插件是OAuth 1.0a服務器，應用程序密碼和JSON Web令牌。