Kertokaa viisaat pitääkö jotain huomioda tietoturvan kannalta, jos käyttää "wp_remote_get" funktiota suorittamaan REST API pyynnön missä on api key näkyvillä?
Toki voit tehdä itsellesi oman rajapinnan backendiin jota frontista kutsut, ja varsinaisen kutsun lopulliseen rajapintaan tehdä sen sisällä jolloin apiavain ei jää kiinni selaimen httpkutsujen logeissa
Pyynnön vastaanottavan palvelimen access-lokiin saattaa jäädä koko URI sellaisenaan.
Toki jos kustsussa käyttäisi postia getin sijaan, niin sitten webbilokeihin ei avainta yleensä jäisi.
Toisaalta usein jos on pääsy palvelimen lokeihin, niin on pääsy muutenkin koko systeemiin.
API:n käyttäjän osuus tietoturvasta on sekä GET- että POST-tapauksessa se, että avain pidetään piilossa kävijöiltä (kuten groovyb sanoi) eli tehdään API-kutsut pelkästään palvelinpuolella eikä vuodeta tietoa kävijöille myöskään virheilmoitusten kautta (esim. ”tapahtui virhe API-kutsussa osoitteeseen ...?apikey=foo”). Juuri sen enempää ei voi API:n käyttäjänä tehdä.
API:n ylläpitäjän vastuulla on tietysti se, etteivät avaimet joudu näkyviin lokitiedoista (esim. ”kuukauden suosituin sivumme: ...?apikey=jalski”).
Aihe on jo aika vanha, joten et voi enää vastata siihen.