Guía para Usar el Plugin JWT Authentication for WP REST API y Proteger tu REST API

En esta ocasión, quiero compartirles una herramienta muy útil que estoy utilizando en el desarrollo de una aplicación Android, diseñada para ayudar a los usuarios a programar sus rutinas de ejercicios en el gimnasio. Para conectar esta app con WordPress y WooCommerce, estoy utilizando la REST API, lo cual requiere un sistema de autenticación seguro. Por eso, en este post les mostraré cómo usar el plugin JWT Authentication for WP REST API, que permite manejar la autenticación de manera eficiente y protegida.

El plugin JWT Authentication for WP REST API permite implementar un sistema de autenticación seguro en WordPress mediante tokens JWT. Ideal para desarrolladores que trabajan con aplicaciones externas o móviles, este plugin proporciona una forma sencilla de autenticar usuarios a través de la REST API y manejar sesiones sin depender de cookies ni formularios tradicionales. Una vez configurado, devuelve un token JWT tras un inicio de sesión exitoso, que puede utilizarse para acceder a rutas protegidas de la API.

Primero, debemos asegurarnos de que el plugin esté activado. A continuación, te muestro una imagen como referencia para verificar su activación desde el panel de administración de WordPress.

Luego, es necesario habilitar el encabezado HTTP Authorization en tu servidor (especialmente si estás usando un hosting compartido). Para hacerlo, debes editar el archivo .htaccess, que se encuentra en la carpeta public_html de tu instalación de WordPress, y agregar el siguiente código:

RewriteEngine on
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

En nuestro caso, agregamos la siguiente línea adicional porque estamos utilizando un hosting de WPEngine:

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

Nos quedó así:

El siguiente paso es configurar nuestra Secret Key. Para ello, debemos abrir el archivo wp-config.php, ubicado en la carpeta public_html, y agregar la siguiente línea. Asegúrate de reemplazar "your-top-secret-key" por una clave secreta única y segura, la cual no debe ser compartida con nadie.

define('JWT_AUTH_SECRET_KEY', 'your-top-secret-key');

Después de definir la clave secreta, también debemos habilitar el soporte para CORS. Para ello, en el mismo archivo wp-config.php, agregamos la siguiente línea justo después de la anterior:

define('JWT_AUTH_CORS_ENABLE', true);

Nos ha quedado asi:

Con estos pasos completados, ya tenemos todo listo para comenzar a utilizar la REST API de WordPress y WooCommerce con autenticación segura mediante JWT. A partir de ahora, podrás hacer peticiones autenticadas desde tu aplicación y acceder a las rutas protegidas de forma segura.