前言介紹
- 這款 WordPress 外掛「Application Passwords」是 2016-02-03 上架。
- 目前有 10000 個安裝啟用數。
- 上一次更新是 2021-05-07,距離現在已有 1456 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 4.4 以上版本才可以安裝。
- 有 31 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
kraftbj | kasparsd | passoniate | valendesigns | georgestephanis |
外掛標籤
xml-rpc | rest-api | security | authentication | application-passwords |
內容簡介
⚠️ 重要提示:此外掛已合併至 WordPress 5.6 核心,不需要單獨安裝。 查看整合指南→
使用應用程式密碼進行身份驗證,而不必直接提供用戶的密碼。相反,為每個應用程式生成唯一的密碼,而不洩露用戶的主要密碼。每個應用程式的應用程式密碼都可以單獨撤銷。
重要提示:只能用於驗證 API 請求,例如REST API和XML-RPC,而不能用於常規網站登錄。
貢獻
將外掛程式翻譯成您的語言。
在 GitHub上報告問題,提出功能建議和貢獻代碼。
手動創建應用程式密碼
進入要為其生成新應用程式密碼的用戶的“使用者資料”頁面。要這樣做,點擊 WordPress 管理員左側的“使用者”,然後點擊您要管理的用戶。
向下滾動,直到看到“應用程式密碼”部分。這通常在頁面底部。
在輸入欄中,輸入新應用程式密碼的名稱,然後點擊“新增”。
注意:“應用程式密碼名稱”僅用於描述您的密碼以便日後輕鬆管理。它不會以任何方式影響您的密碼。如果您稍後需要更改密碼,這樣做會使管理變得更加容易和方便。
單擊“新增”按鈕後,您的新應用程式密碼將顯示。請將其保存在安全的位置,因為不會再顯示給您。如果您丟失此密碼,將無法再獲取它。
雙因素驗證支援
只要您繞過雙因素外掛添加的API訪問限制,應用程式密碼就可以與雙因素外掛一起使用。這些保護措施禁用啟用雙因素驗證的用戶的通過密碼身份驗證的API請求。
使用 two_factor_user_api_login_enable 過濾器允許使用應用程式密碼進行API請求身份驗證:
add_filter( 'two_factor_user_api_login_enable', function( $enable ) {
// Allow API login when using an application password even with 2fa enabled.
if ( did_action( 'application_password_did_authenticate' ) ) {
return true;
}
return $enable;
} );
如果與應用程式密碼關聯的用戶沒有啟用任何雙因素方法,則不需要執行此操作。
請求應用程式密碼
要為應用程序請求密碼,請重定向用戶到:
https://example.com/wp-admin/admin.php?page=auth_app
並使用以下GET請求參數進行指定:
app_name(必需) - 應用程式的人類可讀取識別符。這將是生成的應用程式密碼的名稱,因此請像“iPhone 12 上的WordPress移動應用程序”一樣結構化,以實現多個版本之間的唯一性。如果省略,則需要用戶提供應用程式名稱。
success_url(建議)表達頁面的URL,當生成應用程式密碼時,或是用戶通過應用程式密碼登錄時,它將被使用。
原文外掛簡介
⚠️ IMPORTANT: This plugin has been merged into WordPress core version 5.6 and doesn’t have to be installed separately. View the integration guide →
Use Application Passwords to authenticate users without providing their passwords directly. Instead, a unique password is generated for each application without revealing the user’s main password. Application passwords can be revoked for each application individually.
Important: Application Passwords can be used only for authenticating API requests such as REST API and XML-RPC, and they won’t work for regular site logins.
Contribute
Translate the plugin into your language.
Report issues, suggest features and contribute code on GitHub.
Creating Application Password Manually
Go the User Profile page of the user that you want to generate a new application password for. To do so, click Users on the left side of the WordPress admin, then click on the user that you want to manage.
Scroll down until you see the Application Passwords section. This is typically at the bottom of the page.
Within the input field, type in a name for your new application password, then click Add New.
Note: The application password name is only used to describe your password for easy management later. It will not affect your password in any way. Be descriptive, as it will lead to easier management if you ever need to change it later.
Once the Add New button is clicked, your new application password will appear. Be sure to keep this somewhere safe, as it will not be displayed to you again. If you lose this password, it cannot be obtained again.
Two Factor Support
Application Passwords can be used together with the Two Factor plugin as long as you bypass the API acccess restrictions added by the Two Factor plugin. Those protections disable API requests with password authentication for users with Two Factor enabled.
Use the two_factor_user_api_login_enable filter to allow API requests authenticated using an application passwords:
add_filter( 'two_factor_user_api_login_enable', function( $enable ) {
// Allow API login when using an application password even with 2fa enabled.
if ( did_action( 'application_password_did_authenticate' ) ) {
return true;
}
return $enable;
} );
This is not required if the user associated with the application password doesn’t have any of the Two Factor methods enabled.
Requesting Password for Application
To request a password for your application, redirect users to:
https://example.com/wp-admin/admin.php?page=auth_app
and use the following GET request parameters to specify:
app_name (required) – The human readable identifier for your app. This will be the name of the generated application password, so structure it like … “WordPress Mobile App on iPhone 12” for uniqueness between multiple versions. If omitted, the user will be required to provide an application name.
success_url (recommended) – The URL that you’d like the user to be sent to if they approve the connection. Two GET variables will be appended when they are passed back — user_login and password — these credentials can then be used for API calls. If the success_url variable is omitted, a password will be generated and displayed to the user, to manually enter into your application.
reject_url (optional) – If included, the user will get sent there if they reject the connection. If omitted, the user will be sent to the success_url, with ?success=false appended to the end. If the success_url is omitted, the user will be sent to their dashboard.
Testing an Application Password
We use curl to send HTTP requests to the API endpoints in the examples below.
WordPress REST API
Make a REST API call to update a post. Because you are performing a POST request, you will need to authorize the request using your newly created base64 encoded access token. If authorized correctly, you will see the post title update to “New Title.”
curl --user "USERNAME:APPLICATION_PASSWORD" -X POST -d "title=New Title" https://LOCALHOST/wp-json/wp/v2/posts/POST_ID
When running this command, be sure to replace USERNAME and APPLICATION_PASSWORD with your credentials (curl takes care of base64 encoding and setting the Authorization header), LOCALHOST with the hostname of your WordPress installation, and POST_ID with the ID of the post that you want to edit.
XML-RPC
Unlike the WordPress REST API, XML-RPC does not require your username and password to be base64 encoded. Send an XML-RPC request to list all users:
curl -H 'Content-Type: text/xml' -d '
In the above example, replace USERNAME with your username, PASSWORD with your new application password, and LOCALHOST with the hostname of your WordPress installation. This should output a response containing all users on your site.
Plugin History
This is a feature plugin that is a spinoff of the main Two-Factor Authentication plugin.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「Application Passwords」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
延伸相關外掛(你可能也想知道)
Limit Login Attempts 》此外掛可限制正常登入及使用驗證 cookies 登入的次數。, WordPress 預設允許使用者無限次數嘗試登入,無論是透過登入頁面或是傳送特殊 cookies 皆可。這讓密...。
InfiniteWP Client 》InfiniteWP 可讓使用者從自己的伺服器管理無限數量的 WordPress 網站。, 主要功能:, , 自行託管系統:位於您自己的伺服器上,完全受您控制, 一鍵更新所有網站...。
WPS Limit Login 》繁體中文, 限制通過登錄頁面和使用權限Cookie可能的登錄嘗試次數。, WordPress 默認情況下允許通過登錄頁面或發送特殊 Cookie 的方式進行無限制的登錄嘗試。...。
Two-Factor 》在「使用者」→「您的個人檔案」下的「雙因素認證選項」部分,啟用和設定一個或多個雙因素認證提供者:, , 電子郵件代碼, 時間同步一次性密碼(TOTP), FIDO通...。
WP-Members Membership Plugin 》8211; allows you to restrict file downloads to registered users only, with customizable download links., MailChimp Integration – integrates W...。
Google Authenticator 》WordPress 的 Google Authenticator 外掛使用 Google Authenticator App 為 Android/iPhone/Blackberry 手機提供雙因素驗證。, 如果您有安全意識,您可能已經...。
Login by Auth0 》這個外掛會以 Auth0 為基礎,取代標準 WordPress 登入表單,具有以下功能:, , 通用身分驗證, , 超過 30 個社交登入提供者, 企業連接 (ADFS、Active Director...。
WP Limit Login Attempts 》Limit Login Attempts 是一款可保護登錄安全,防止暴力破解攻擊的 WordPress 插件。暴力破解攻擊通常採用最簡單的方式來獲得網站控制權:一遍遍地嘗試輸入帳...。
Login for Google Apps 》Google應用登錄允許現有的WordPress使用者使用Google進行帳戶驗證來登錄您的網站以實現安全認證。這意味著,如果他們已經登入Gmail,他們可以通過WordPress登...。
WP SAML Auth 》 , 使用打包的 OneLogin SAML library 或者可选的安装 SimpleSAMLphp,WP SAML Auth 插件提供 WordPress 的 SAML 身份验证。OneLogin 提供了一个 SAML 身份验...。
Email Login 》使用電子郵件地址作為登入 WordPress 的識別名稱,代替使用者名稱。, 因為 WordPress 規定電子郵件地址必須在系統中唯一,所以使用它作為登入識別名稱是個好...。
Log in with Google 》這是一個極簡化的外掛,讓您的使用者可以使用他們的 Google 帳戶登入 WordPress 應用程式,不再需要記住笨重的密碼!, 初始設置, , , 如果尚未存在,請從 Goo...。
Active Directory Integration / LDAP Integration 》展示 | 文檔 | 特性 | 插件 | 聯繫我們, Active Directory 整合 / LDAP 整合 Intranet 登入的外掛程式 可以讓您使用其 Active Directory/LDAP 憑證身分驗證您...。
Duo Two-Factor Authentication 》Duo Security 提供雙因素認證服務,以保護帳戶免受劫持和資料竊取。使用 Duo 外掛,您可以在幾分鐘內輕鬆地將 Duo 雙因素認證添加到您的 WordPress 網站中!,...。
Authorizer 》Authorizer 外掛可以讓您限制 WordPress 網站只有特定使用者能夠進入,通常是已註冊於某個大學課程的學生。它維護一個經過批准的使用者清單,您可以編輯以確...。