WordPress中如何正确配置REST API权限？

一、理解WordPress REST API权限控制机制

WordPress REST API的权限体系基于角色（Role）与能力（Capability）模型，通过current_user_can()函数判断当前用户是否具备执行某操作的能力。默认情况下，只有已登录且具备相应权限的用户才能访问敏感端点，如/wp/v2/posts/<id>的PUT请求。

当开发者创建自定义角色或使用插件赋予新能力时，常误以为添加edit_posts即可访问所有文章相关API，但实际上REST API会调用更细粒度的元能力（meta capability），例如edit_post、delete_user等，这些由map_meta_cap钩子动态映射为基本能力。

常见错误示例：

• 仅通过add_role()添加角色并赋予edit_posts，但未处理edit_post元能力。
• 使用Application Passwords登录后仍返回401，因用户主角色被限制。
• JWT认证成功，但请求/wp/v2/users返回403，源于缺少list_users能力映射。

二、深入分析map_meta_cap工作机制

map_meta_cap是WordPress核心用于将高级语义化能力（如“编辑某篇文章”）转换为底层基本能力（如‘edit_others_posts’）的关键钩子。REST API在调用get_item_permissions_check时内部会触发此机制。

例如，当请求PUT /wp/v2/posts/123时，系统检查用户是否有edit_post能力，而该能力需根据文章作者、状态等信息映射为edit_posts、edit_others_posts等基础cap。

三、身份验证方式及其对权限的影响

即使角色配置正确，若身份验证方式不匹配，依然会导致401错误。以下是主流认证方案对比：

1. Cookie-Based Authentication：适用于前端JS调用，依赖wp_set_current_user()和非空cookie。未登录用户无法通过。
2. Application Passwords（WP 5.6+）：支持基本认证，但要求用户主角色拥有对应能力，且不能用于多站点全局用户。
3. JWT Authentication：需手动集成插件，解码后必须重新绑定$current_user，否则current_user_can()失效。
4. OAuth 1.0a：企业级安全标准，适合第三方应用，但部署复杂。

// 示例：注册Application Password支持
add_filter('determine_current_user', 'allow_basic_auth', 20);
function allow_basic_auth($user) {
    if (!empty($_SERVER['PHP_AUTH_USER']) && !empty($_SERVER['PHP_AUTH_PW'])) {
        return wp_authenticate_application_password(null, $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']);
    }
    return $user;
}

四、精准控制自定义角色API访问权限

要实现细粒度控制，需结合register_rest_route中的permission_callback与全局map_meta_cap过滤器。

// 注册自定义端点并设置权限回调
add_action('rest_api_init', function () {
    register_rest_route('myplugin/v1', '/data', [
        'methods' => 'GET',
        'callback' => 'my_custom_data_handler',
        'permission_callback' => function ($request) {
            return current_user_can('view_sensitive_data');
        }
    ]);
});

// 映射自定义元能力
add_filter('map_meta_cap', function ($caps, $cap, $user_id, $args) {
    if ('view_sensitive_data' === $cap) {
        $caps = ['exist']; // 最小权限占位符
    }
    return $caps;
}, 10, 4);

五、调试与验证流程图

以下流程图展示从请求进入至权限判定的完整路径：

六、最佳实践建议

• 避免直接修改管理员角色，使用自定义角色配合add_role()和精细能力分配。
• 启用调试模式：define('WP_DEBUG', true); 并监听rest_authentication_errors钩子输出原因。
• 对于无头架构，推荐使用JWT + 白名单IP + 请求频率限制组合策略。
• 定期审计角色能力：wp user list --fields=ID,user_login,roles,capabilities（WP-CLI）。
• 使用rest_pre_dispatch钩子记录高风险操作日志。
• 确保插件不覆盖核心capability逻辑，特别是Advanced Access Manager类工具。
• 测试时使用cURL模拟不同身份：
  curl -X GET http://site.com/wp-json/wp/v2/posts/1 -u username:application-password
• 考虑引入RBAC（基于角色的访问控制）中间层，抽象权限决策逻辑。
• 监控WP_Error对象返回的code字段，区分auth_cookie_invalid、jwt_auth_failed等类型。
• 对公开读取端点启用缓存，减少数据库查询压力。