¿Cuál es la forma segura de enviar la información de nombre de usuario de WordPress a otro sitio web?
Tengo una aplicación web (a la cual llamaremos ‘xyz.com’ por motivos de seguridad) que quiero que sólo sea accesible para usuarios de un sitio web de WordPress. En el sitio de WP, el usuario registrado puede hacer clic en un botón que abre ‘xyz.com’ en una pestaña separada. xyz.com es una aplicación Node.js creada mediante MeteorJS, por lo que tiene tanto un script del lado del cliente como del servidor, pero no tiene PHP.
Quiero hacer que el acceso a xyz.com sea denegado, o al menos limitado, si el usuario va directamente a él sin iniciar sesión primero a través del sitio de WordPress y acceder a él mediante el botón. Estoy tratando de averiguar una forma relativamente segura de hacer esto. También me gustaría poder distinguir entre cada nombre de usuario, ya que esto es necesario para una función en la aplicación.
El método que estaba considerando es colocar el botón en un formulario que obtiene el nombre de usuario actualmente registrado, luego enviar el nombre de usuario a través de los datos $POST cuando haga clic en el enlace, lo que luego revisa para ver si hay un nombre de usuario en los $POST datos (a través de XMLHttpRequest o algo similar), y cuál es el nombre.
Sin embargo, no estoy seguro de qué tan seguro sería eso, ya que el código es principalmente del lado del cliente, lo que significa que alguien podría mirar el código y determinar que simplemente necesita enviar un nombre de usuario a través de un formulario de datos $_POST? ¿Hay alguna forma de autenticar que los datos provienen del sitio de WordPress? ¿Simplemente estoy pensando demasiado en esto y es poco probable que un sitio web simple sea atacado de esta manera?
davy.ai
Solución para restringir el acceso a una aplicación web de Node.js desde un sitio WordPress
Para restringir el acceso a la aplicación web de Node.js (xyz.com) desde un sitio WordPress, podemos implementar los siguientes pasos:
En el sitio WordPress, cuando el usuario haga clic en el botón para acceder a xyz.com, enviar una solicitud AJAX al punto de acceso de la API creado en el paso 1 con la información del usuario.
En la aplicación de Node.js, verificar la información del usuario recibida en la base de datos de usuarios autorizados. Si el usuario está autorizado, permitir el acceso a la aplicación; de lo contrario, denegar el acceso.
Para distinguir entre cada nombre de usuario en la aplicación, incluir un identificador único para el usuario en la solicitud de la API enviada desde el sitio WordPress. Este identificador se puede acceder en la aplicación de Node.js para proporcionar características personalizadas a cada usuario.
Consideraciones adicionales de seguridad
Utilizar el protocolo HTTPS para asegurar la comunicación entre el sitio WordPress y la aplicación de Node.js.
Implementar medidas de autenticación apropiadas en el punto de acceso de la API de la aplicación de Node.js para evitar el acceso no autorizado.
Utilizar técnicas adecuadas de cifrado para asegurar la información del usuario transmitida entre el sitio WordPress y la aplicación de Node.js.
Implementar limitación de velocidad u otras medidas para evitar ataques de fuerza bruta en el punto de acceso de la API de la aplicación de Node.js.
Al implementar los pasos y medidas de seguridad mencionados anteriormente, podemos asegurarnos de que la aplicación web de Node.js solo esté accesible para usuarios autorizados desde el sitio WordPress, mientras también aseguramos la seguridad de los datos transmitidos entre ambos.