Zum Inhalt springen

WordPress.com Connect

Dieser Text wurde mithilfe von KI übersetzt. Wenn Sie den Originaltext auf Englisch lesen möchten, klicken Sie hier.

WordPress.com Connect ist eine optimierte Authentifizierungslösung, die speziell für die Funktionalität „Anmelden mit WordPress.com“ entwickelt wurde. Sie bietet Millionen von WordPress.com-Nutzern eine sichere und benutzerfreundliche Möglichkeit, sich mit ihren bestehenden WordPress.com-Anmeldedaten bei Ihrer Anwendung zu authentifizieren.

Bild, das die Schaltfläche „Mit WordPress.com verbinden

WordPress.com Connect ist eine spezialisierte Implementierung von OAuth2, die auf Benutzerauthentifizierung und Identitätsverifizierung ausgerichtet ist. Für den vollständigen API-Zugriff auf WordPress.com-Websites und die Inhaltsverwaltung lesen Sie die vollständige Dokumentation zur OAuth2-Authentifizierung.

WordPress.com Connect ermöglicht es WordPress.com-Nutzern, sich schnell bei Ihrem Dienst anzumelden, ohne neue Konten erstellen zu müssen. Wenn sich Nutzer verbinden, erhält Ihre Anwendung deren grundlegende Profilinformationen (Name, E-Mail, Avatar), während sie die Kontrolle über ihre WordPress.com-Daten und Privatsphäre behalten.

Wesentliche Merkmale von WordPress.com Connect:

  • Benutzerfreundlich: Vertraute Oberfläche für Millionen von WordPress.com-Nutzern
  • Identitätsorientiert: Konzipiert für die Benutzerauthentifizierung, nicht für die Inhaltsverwaltung
  • Eingeschränkter Umfang: Zugriff beschränkt auf grundlegende Profilinformationen über den /me/-Endpunkt
  • Vereinfachter Ablauf: Optimiert für „Anmelden mit WordPress.com“-Schaltflächen

Vorteile

Millionen von Nutzern – WordPress.com besteht aus Millionen von Nutzern und wächst jeden Tag. Durch die Integration von WordPress.com Connect werden Sie Teil einer großen Gemeinschaft, die es WordPress.com-Nutzern erleichtert, neue Dienste zu entdecken.

Kompatibel mit Ihrem bestehenden Anmeldesystem – WordPress.com Connect kann eigenständig oder als ergänzende Anmeldeoption zu Ihrem bestehenden Registrierungssystem verwendet werden. Sobald sich ein Nutzer verbindet, erhalten Sie Zugriff auf dessen Profilinformationen, die Sie in Ihrer eigenen App verwenden können.

Vertrauensvolle Beziehung – Ermöglichen Sie Benutzern, sich mit denselben Anmeldedaten anzumelden, die sie täglich auf WordPress.com verwenden. Das erspart ihnen den Aufwand, sich neue Anmeldedaten für einen weiteren Dienst merken und verwalten zu müssen.

Praktische Implementierungsbeispiele für WordPress.com Connect in verschiedenen Programmiersprachen finden Sie im wpcom-connect-examples-Repository. Dieses Repository enthält Beispielcode, der zeigt, wie Sie die Funktionalität „Anmelden mit WordPress.com“ in verschiedenen Sprachen und Frameworks implementieren können.

OAuth2-Implementierungsdetails

WordPress.com Connect verwendet den OAuth2-Authentifizierungsendpunkt (/oauth2/authenticate) anstelle des standardmäßigen Autorisierungsendpunkts. Dieser spezialisierte Endpunkt ist für die Identitätsüberprüfung optimiert und beschränkt den Token-Geltungsbereich automatisch auf den grundlegenden Profilzugriff.

Technischer Ablauf:

  1. Benutzerautorisierung: Weiterleitung zu /oauth2/authenticate (nicht /oauth2/authorize)
  2. Code-Austausch: Austausch des Autorisierungscodes unter /oauth2/token (wie bei vollständigem OAuth2)
  3. Eingeschränkter Zugriff: Der resultierende Token gewährt nur Zugriff auf den /me/-Endpunkt
  4. Profildaten: Benutzeridentität von /rest/v1.1/me abrufen

Detaillierte technische Informationen zum /oauth2/authenticate-Endpunkt finden Sie im Abschnitt Authentifizierungsendpunkt in der OAuth2-Dokumentation.

Voraussetzungen

Bevor Sie WordPress.com Connect implementieren, müssen Sie Ihre Anwendung registrieren:

  1. Erstellen Sie eine WordPress.com-Anwendung unter developer.wordpress.com/apps
  2. Konfigurieren Sie Ihre Anwendung: Verwenden Sie denselben Titel wie Ihre Website (wird in Anmeldeformularen angezeigt)
  3. Zugangsdaten erhalten: Sie erhalten eine CLIENT_ID und ein CLIENT_SECRET
  4. Weiterleitungs-URI festlegen: Konfigurieren Sie, wohin Benutzer nach der Authentifizierung zurückgeleitet werden

Implementierungsbeispiel (PHP)

Hier ist ein vollständiges Beispiel, das zeigt, wie Sie WordPress.com Connect für die Benutzerauthentifizierung und den Profilabruf implementieren.

Konfiguration einrichten

Konfigurieren Sie zunächst Ihre Anwendungszugangsdaten. Ersetzen Sie diese Werte durch die aus Ihrer WordPress.com-Anwendung:

<?php
// config.php - WordPress.com Connect Configuration
define('CLIENT_ID', 'your_client_id');
define('CLIENT_SECRET', 'your_client_secret');
define('REDIRECT_URI', 'https://yourapp.com/auth-callback');

// WordPress.com OAuth2 endpoints (no changes needed)
define('AUTHENTICATE_URL', 'https://public-api.wordpress.com/oauth2/authenticate');
define('TOKEN_URL', 'https://public-api.wordpress.com/oauth2/token');
define('USER_INFO_URL', 'https://public-api.wordpress.com/rest/v1.1/me');

session_start(); // Required for state parameter security
?>

Vollständiges Beispiel: Im wpcom-connect-examples-Repository finden Sie Implementierungen in weiteren Programmiersprachen.

Schritt 1: Autorisierungs-URL erstellen

Erstellen Sie den „Mit WordPress.com verbinden“-Button, der Benutzer zur Authentifizierung zu WordPress.com weiterleitet. Dabei wird der Authentifizierungs-Endpunkt verwendet (nicht der Standard-Autorisierungs-Endpunkt).

Sicherheitshinweis: Der state-Parameter verhindert CSRF-Angriffe und muss bei der Rückkehr der Benutzer validiert werden.

<?php
require_once 'config.php';

// Generate secure state parameter for CSRF protection
if (!isset($_SESSION['wpcc_state'])) {
    $_SESSION['wpcc_state'] = bin2hex(random_bytes(16)); // More secure than md5(mt_rand())
}

// Build authentication URL using /oauth2/authenticate endpoint
$auth_url = AUTHENTICATE_URL . '?' . http_build_query([
    'response_type' => 'code',
    'client_id'     => CLIENT_ID,
    'redirect_uri'  => REDIRECT_URI,
    'state'         => $_SESSION['wpcc_state'],
    'scope'         => 'auth' // Limited scope for profile access only
]);

// Display the Connect button
echo '<a href="' . htmlspecialchars($auth_url) . '">';
echo '<img src="https://s0.wp.com/i/wpcc-button.png?m=1391188133i" width="231" alt="Connect with WordPress.com" />';
echo '</a>';
?>

Dies erzeugt den bekannten WordPress.com-Verbindungsbutton:

Bild, das den Button „Mit WordPress.com verbinden

Schritt 2: Autorisierungsantwort verarbeiten

Wenn Benutzer auf den Verbindungsbutton klicken, sehen sie einen WordPress.com-Autorisierungsbildschirm:

WordPress-Anmeldeaufforderung, die Benutzer bittet, den Zugriff für Test Company zu genehmigen, mit Details zu den angezeigten Informationen und Optionen zum Genehmigen oder Ablehnen.

Nach der Genehmigung leitet WordPress.com die Benutzer mit einem Autorisierungscode zurück zu Ihrer redirect_uri weiter. Ihr Callback-Handler muss den State-Parameter validieren und den Code gegen ein Access Token eintauschen:

<?php
// auth-callback.php - Handle the authorization response
require_once 'config.php';

// Validate authorization response
if (!isset($_GET['code'])) {
    die('Error: No authorization code received. User may have declined access.');
}

if (!isset($_GET['state']) || $_GET['state'] !== $_SESSION['wpcc_state']) {
    die('Error: State mismatch. Possible CSRF attack detected.');
}

// Exchange authorization code for access token
$curl = curl_init(TOKEN_URL);
curl_setopt_array($curl, [
    CURLOPT_POST => true,
    CURLOPT_POSTFIELDS => [
        'client_id'     => CLIENT_ID,
        'client_secret' => CLIENT_SECRET,
        'code'          => $_GET['code'],
        'grant_type'    => 'authorization_code',
        'redirect_uri'  => REDIRECT_URI
    ],
    CURLOPT_RETURNTRANSFER => true,
    CURLOPT_SSL_VERIFYPEER => true
]);

$response = curl_exec($curl);
$http_code = curl_getinfo($curl, CURLINFO_HTTP_CODE);
curl_close($curl);

if ($http_code !== 200) {
    die('Error: Failed to obtain access token.');
}

$token_data = json_decode($response, true);
$access_token = $token_data['access_token'];

// Clean up session state
unset($_SESSION['wpcc_state']);
?>

Erfolgreiche Token-Antwort:

{
    "access_token": "your_access_token_here",
    "token_type": "bearer",
    "blog_id": 0,
    "blog_url": "https://public-api.wordpress.com",
    "scope": "auth"
}

Beachten Sie scope: "auth" – dies bestätigt, dass das Token nur eingeschränkten Zugriff zur Identitätsverifizierung hat.

Schritt 3: Benutzerprofil abrufen

Rufen Sie mit dem Access Token die Profilinformationen des Benutzers vom /me/-Endpunkt ab:

<?php
// Fetch user profile using the access token
function get_user_profile($access_token) {
    $curl = curl_init(USER_INFO_URL);
    curl_setopt_array($curl, [
        CURLOPT_HTTPHEADER => [
            'Authorization: Bearer ' . $access_token
        ],
        CURLOPT_RETURNTRANSFER => true,
        CURLOPT_SSL_VERIFYPEER => true // Always verify SSL in production
    ]);

    $response = curl_exec($curl);
    $http_code = curl_getinfo($curl, CURLINFO_HTTP_CODE);
    curl_close($curl);

    if ($http_code !== 200) {
        throw new Exception('Failed to fetch user profile');
    }

    return json_decode($response, true);
}

// Get the user's WordPress.com profile
try {
    $user_profile = get_user_profile($access_token);

    // Store or process user information
    $user_id = $user_profile['ID'];
    $display_name = $user_profile['display_name'];
    $email = $user_profile['email'];
    $avatar_url = $user_profile['avatar_URL'];
    $is_verified = $user_profile['verified'];

} catch (Exception $e) {
    die('Error: ' . $e->getMessage());
}
?>

Format der Profilantwort:

{
  "ID": 12345,
  "display_name": "Bob Smith",
  "username": "bobsmith",
  "email": "bob@example.com",
  "primary_blog": 67890,
  "avatar_URL": "https://gravatar.com/avatar/abc123?s=96",
  "profile_URL": "https://en.gravatar.com/bobsmith",
  "verified": true
}

Schritt 4: Benutzerauthentifizierung abschließen

Sobald Sie das Benutzerprofil haben, integrieren Sie den Benutzer in Ihre Anwendung:

<?php
// Complete user authentication flow
if ($is_verified) {
    // User has verified their email - safe to trust profile data
    $existing_user = find_user_by_wpcom_id($user_id);

    if ($existing_user) {
        // Log in existing user
        login_user($existing_user);
        redirect_to_dashboard();
    } else {
        // Create new account with WordPress.com profile data
        $new_user = create_user([
            'wpcom_id' => $user_id,
            'username' => $user_profile['username'],
            'email' => $email,
            'display_name' => $display_name,
            'avatar_url' => $avatar_url
        ]);
        login_user($new_user);
        redirect_to_welcome();
    }
} else {
    // Unverified email - handle with caution
    redirect_to_verification_required();
}
?>

Wichtig: Überprüfen Sie immer das verified-Flag, bevor Sie Profilinformationen vertrauen. Nicht verifizierte Konten können unzuverlässige Daten enthalten.

WordPress.com Connect vs. vollständiges OAuth2

Wann welcher Ansatz verwendet werden sollte:

FunktionWordPress.com ConnectVollständiges OAuth2
ZweckBenutzerauthentifizierung & IdentitätVollständiger API-Zugriff & Inhaltsverwaltung
Endpunkt/oauth2/authenticate/oauth2/authorize
Token-Bereichauth (beschränkt auf /me/)Benutzerdefinierte Bereiche (posts, media usw.)
Anwendungsfälle„Mit WordPress.com anmelden“WordPress.com-Website-Verwaltung
DatenzugriffNur grundlegendes ProfilBlogbeiträge, Medien, Kommentare usw.

Wichtig: Verwenden Sie nicht dieselbe WordPress.com-Anwendung sowohl für die Connect-Authentifizierung als auch für den vollständigen API-Zugriff. Connect-Tokens sind auf den /me/-Endpunkt beschränkt und können nicht auf Blog-Inhalte oder Verwaltungsfunktionen zugreifen.

Zuletzt aktualisiert: Juni 18, 2026

Bereit für die ersten Schritte mit WordPress.com?

Jetzt starten