产品s
Solutions
Pricing
Compare
Resources
开发者
Support
LemonX 开发人员·身份验证

在接触 WordPress 之前保护每个 AI、API 和自动化工作流程。

LemonX 将 WordPress 与 AI 提供商、MCP 客户端、REST API 集成、云网关服务、翻译工作流程、索引系统和开发人员自动化连接起来。这种能力需要明确的身份验证和许可模型。

LemonX 中的身份验证旨在在任何操作运行之前回答三个问题:

正在提出请求? ·什么他们可以这样做吗? ·应该此操作是只读、仅预览还是允许应用更改?

WordPress-原生 · 权限感知 · 预览优先 · 专为 AI-安全自动化而构建

LemonX 身份验证保护什么?

LemonX 身份验证可保护对开发人员 API、MCP 工具、AI 支持的工作流程、云连接功能、许可证服务、翻译队列、索引操作、内容预览和 WordPress 内的写入操作的访问。

由于 LemonX 可以帮助 AI 系统读取、生成、翻译、优化和更新 WordPress 内容,因此身份验证必须超越简单的登录。它需要结合身份、角色、能力、产品权利、工作流程类型、操作敏感性和可审核性。

识别请求者

请求可能来自 WordPress 用户、API 密钥、应用程序密码、MCP 客户端、云网关连接或 Webhook 系统。

验证权限

应根据 WordPress 角色、功能、LemonX 模块设置和产品级权利检查每个请求。

分开阅读、预览和应用

阅读内容、生成预览和应用更改应被视为不同的权限级别。

记录重要操作

应记录敏感操作,以便进行调试、问责和安全审查。

认证模型

LemonX 使用分层身份验证,而不是一刀切的访问。

不同的工作流程需要不同级别的信任。创建草稿的登录编辑器、服务器到服务器 REST API 集成、Claude MCP 会话和云网关请求不应以相同的方式处理。

LemonX 身份验证应设计为分层模型:身份→认证→权限→权利→操作安全→审计日志

第 1 层

身份

谁提出请求?

LemonX 首先需要了解请求背后的身份。

可能的身份
  • WordPress 管理员
  • WordPress 编辑器
  • SEO 经理
  • 翻译者
  • 代理用户
  • 应用密码用户
  • API 密钥所有者
  • MCP 客户端会话
  • 云网关服务
  • Webhook 端点
  • 外部整合

为什么它很重要:内容编辑者可以创建草稿,但不能更改 MCP 设置。译者可以预览翻译,但不能发布页面。代理帐户可以管理客户报告,但不能管理计费。 MCP 客户端可以读取内容,但在应用编辑之前需要确认。

第2层

认证

请求如何验证?

知道身份后,LemonX 验证请求是否合法。该方法取决于集成类型。

常用方法
  • WordPress 登录会话
  • WordPress 随机数
  • 申请密码
  • API 键
  • 不记名令牌
  • 云网关令牌
  • MCP 授权上下文
  • Webhook 签名
  • 类似 OAuth 的未来流程
第3层

许可

请求者可以做什么?

身份验证证明身份。权限决定访问权限。 LemonX 工作流程应尊重 WordPress 功能,并在需要时添加特定于产品的权限控制。

示例
  • 可以阅读帖子
  • 可以编辑帖子
  • 可以发表帖子
  • 可以管理选项
  • 可以触发索引
  • 可以管理翻译
  • 可以应用 MCP 预览
  • 可以访问报告
  • 可以管理许可证
  • 可配置云网关
  • 可以创建网络钩子
第4层

权利

此功能在活动计划下可用吗?

某些 LemonX 功能可能取决于产品激活、许可证状态、模块状态或 Pro 权利。

示例
  • AEO 分析需要启用 LemonX AEO。
  • 翻译队列需要启用 LemonX Verto。
  • MCP 工具需要启用 LemonX MCP。
  • 云网关操作需要 LemonX Pro 或有效的云权利。
  • 高级报告可能需要 Pro 或代理计划。
  • 使用量大的 AI 工作流程可能需要可用配额。
第5层

行动安全

这个动作的风险有多大?

并非每项行动都具有相同的风险。 LemonX 应根据操作的影响区别对待操作。

动作类型
  • 只读
  • 草稿创作
  • 预览生成
  • 元数据更新
  • 翻译队列
  • 索引提交
  • 内容适用
  • 发布动作
  • 删除操作
  • 设置更改
  • 权限变更
  • 许可证变更

为什么它很重要:低风险操作可以使用较轻的检查。高风险操作应需要更强的权限、明确的确认和活动记录。

第6层

审核日志

发生了什么、何时、由谁发生?

重要的行动应该留下痕迹。这对于机构、企业团队和 AI 驱动的工作流程尤其重要。

推荐的日志字段
  • 动作类型
  • 用户或令牌身份
  • 源码整合
  • 目标资源
  • 时间戳
  • IP 或请求上下文
  • 使用的工具或端点
  • 参考之前/之后
  • 预览 ID
  • 结果状态
  • 失败时的错误详细信息
认证方式

为每个工作流程选择正确的身份验证方法。

方法一

WordPress 登录会话

最适合管理仪表板工作流程。

当用户已登录 WordPress 时,LemonX 管理屏幕和基于浏览器的操作可以使用当前 WordPress 会话和随机数验证。

最适合
  • LemonX 管理界面
  • 设置页面
  • 手动内容工作流程
  • 管理端预览
  • 仪表板操作
  • 登录用户控件
优势
  • 原生于 WordPress。
  • 适用于管理屏幕。
  • 可以使用 WordPress 随机数。
  • 与用户角色和能力相关。
  • 交互式工作流程简单。
局限性
  • 不适合服务器到服务器的集成。
  • 需要浏览器会话。
  • 不应用于外部后端系统。
方法二

WordPress 随机数

保护基于浏览器的请求免受未经授权的操作。

随机数有助于验证基于浏览器的请求是否来自授权的管理屏幕或用户操作。它们对于从 LemonX 管理 UI 触发的 AJAX 和 REST 请求特别有用。

最适合
  • 管理 AJAX 操作
  • 设置更新
  • 从仪表板预览创建
  • 应用按钮
  • 交互式 UI 工作流程
推荐用途
  • 对状态更改的浏览器请求使用随机数检查。
  • 将随机数检查与能力检查配对。
  • 不要单独依赖随机数作为完整的权限模型。
方法三

WordPress 应用程序密码

最适合受信任的服务器到服务器 API 访问。

WordPress 应用程序密码允许外部系统以特定 WordPress 用户身份进行身份验证。这使得它们对于 REST API 集成、自定义仪表板和后端自动化非常有用。

最适合
  • 外部仪表板
  • 代理工具
  • 内部系统
  • 预定脚本
  • 服务器到服务器 REST API 集成
  • 值得信赖的自动化工作流程
优势
  • WordPress-本机。
  • 可以根据申请撤销。
  • 绑定到特定用户。
  • 与 REST API 请求配合良好。
局限性
  • 权限取决于用户帐户。
  • 应仔细界定范围。
  • 不应在多个不相关的系统之间共享。
  • 不适合公共前端应用程序。
Authorization: Basic base64(username:application_password)
Method 4

API 键

最适合专用 LemonX 集成。

API 密钥可以为外部系统提供专用的方式来访问选定的 LemonX 工作流程,而无需仅依赖普通用户会话。 API 密钥应具有范围、可撤销并连接到特定权限。

最适合
  • 自定义后端集成
  • 自动化平台
  • 代理门户网站
  • 客户仪表板
  • 内部工具
  • 受控数据访问
推荐用途
  • 对不同的系统使用不同的密钥。
  • 避免使用所有访问键。
  • 定期轮换密钥。
  • 禁用未使用的键。
  • 记录密钥使用情况。
  • 限制高风险范围。
推荐的 API 关键字段
  • 按键名称
  • 业主
  • 创建日期
  • 最后使用日期
  • 允许的范围
  • 允许的 IP
  • 有效期
  • 状态
  • 撤销控制
content.readcontent.previewcontent.applyaeo.analyzeaeo.indexing.submitverto.queueverto.applyMCP.logs.readreports.readcloud.usage.read
方法5

不记名代币

最适合基于令牌的 API 工作流程。

当集成需要基于令牌的授权流程时,可以使用不记名令牌。代币应该是短期的或可撤销的,并且应该包含明确的范围。

最适合
  • API 集成
  • 云连接服务
  • 临时访问流量
  • 内部工具
  • 未来类似 OAuth 的工作流程
推荐用途
  • 到期时间
  • 在适当的地方刷新逻辑
  • 范围验证
  • 令牌撤销
  • IP 或来源限制
  • 活动记录
Authorization: Bearer YOUR_ACCESS_TOKEN
方法6

MCP 授权上下文

最适合 AI 代理会话。

MCP 客户端需要一个能够理解经过身份验证的 WordPress 用户和 AI 工具会话的安全模型。 LemonX MCP 授权应控制哪些工具可见、哪些工具可调用以及哪些操作需要预览或应用确认。

最适合
  • Claude Desktop
  • Codex
  • 光标
  • MCP 兼容客户端
  • AI 代理工作流程
  • 应用编辑前预览
关键问题
  • 哪个 WordPress 用户授权了此 MCP 会话?
  • 该用户启用了哪些工具?
  • 代理只能读取,还是可以预览更改?
  • 可以直接应用更改吗?
  • 某些页面受到保护吗?
  • 是否为此会话启用了日志?
  • 网站身份是否经过验证?
推荐 MCP 流程
  1. 验证用户身份
  2. 验证站点身份
  3. 加载允许的工具
  4. 运行读取或预览工具
  5. 生成预览
  6. 要求确认
  7. 应用批准的变更
  8. 记录操作
方法7

云网关令牌

最适合 LemonX Pro 和云连接功能。

当 LemonX 连接到云服务以获取许可、权利、AI 路由、使用情况跟踪、更新或高级功能时,将使用云网关身份验证。

最适合
  • 许可证验证
  • 产品权利
  • 云AI网关
  • 使用情况和配额跟踪
  • 安全更新
  • 高级功能
  • 机构或企业计划
推荐用途
  • 站点绑定令牌
  • 许可证验证
  • 计划权利检查
  • 配额验证
  • 请求签名
  • 使用记录
  • 代币轮换
  • 撤销支持
方法8

Webhook 签名

最适合验证事件交付。

当 LemonX 向外部系统发送 webhook 事件时,接收系统应验证该事件是否来自 LemonX 并且在传输过程中未被修改。

最适合
  • Webhook 事件传递
  • 外部自动化
  • 客户门户
  • 安全日志记录
  • 工作流程触发器
  • 第三方系统更新
推荐用途
  • 共享签名秘密
  • 时间戳标头
  • HMAC签名
  • 重放保护
  • 事件 ID 重复数据删除
  • HTTPS 端点要求
权限模型

分离用户可以阅读、预览、应用和管理的内容。

LemonX 应避免平等对待所有经过身份验证的用户。安全的 AI 工作流程取决于基于角色和基于功能的权限设计。

等级描述典型访问
观众可以检查和汇总数据只读工具、报告
贡献者可以创建草稿和建议草稿创建、预览生成
编辑可以编辑现有内容内容预览和选定的应用工具
出版商可以发布批准的内容应用并发布操作
SEO 经理可以运行 SEO 和 AEO 工作流程分析、元数据、模式、索引
翻译者可以管理翻译工作流程翻译队列、预览和应用
开发商可以访问集成设置API,挂钩,日志,诊断
管理员可以管理所有 LemonX 设置完整的配置和敏感的操作
代理业主可以管理客户端级别的工作流程多站点报告、许可证、用户
企业管理可以执行安全和策略规则高级权限和治理
行动矩阵

建议按操作类型划分权限。

动作类型风险等级建议的最低角色
读取站点标识观众
阅读内容观众
生成摘要观众
创建草稿中等贡献者
生成 SEO 建议中等SEO 经理
创建预览更新中等编辑
队列翻译中等翻译者
提交索引请求中等SEO 经理
应用批准的内容更新编辑
发布内容出版商
申请翻译译者或编辑
修改站点设置管理员
更改 MCP 工具权限管理员或开发人员
管理许可证管理员或机构所有者
创建 API 密钥管理员或开发人员
删除内容关键管理员
更改用户权限关键管理员
禁用安全控制关键管理员
范围

使用范围来限制 API 和工具访问。

范围定义 API 密钥、令牌、MCP 会话或集成可以执行的操作。范围应该足够具体以限制风险,但也应足够广泛以支持有用的工作流程。

内容范围

content.readcontent.searchcontent.draft.createcontent.previewcontent.applycontent.publishcontent.delete

AEO 范围

aeo.readaeo.analyzeaeo.schema.generateaeo.links.suggestaeo.indexing.submitaeo.reports.read

Code 范围

code.templates.readcode.pages.generatecode.sections.generatecode.knowledge.readcode.ocr.processcode.migration.preview

Verto 范围

verto.languages.readverto.translation.queueverto.translation.previewverto.translation.applyverto.seo.generateverto.reports.read

MCP 范围

MCP.tools.readMCP.tools.callMCP.previews.readMCP.previews.applyMCP.logs.readMCP.permissions.manage

Pro 范围

pro.license.readpro.license.managepro.entitlements.readpro.usage.readpro.cloud.statuspro.cloud.manage

报告范围

reports.readreports.generatereports.export

Webhook 范围

webhooks.readwebhooks.createwebhooks.updatewebhooks.deletewebhooks.test
预览优先的安全性

AI 应该首先建议,而不是首先覆盖。

对于 AI 驱动的 WordPress 工作流程,预览优先设计是最重要的安全模式之一。它允许 LemonX 将生成与执行分开。

第 1 步:阅读当前内容

AI 或集成检索当前页面、帖子、SEO 字段或翻译状态。

第 2 步:生成建议的变更

AI 根据用户请求和站点上下文创建建议的更新。

第 3 步:返回预览

LemonX 返回预览,其中包含前后差异、警告和受影响的资源。

第4步:确认批准

合格的用户审查并批准提议的更新。

第 5 步:应用更改

LemonX 应用批准的更改并记录操作。

为什么它很重要:AI 输出可能有用,但不应自动覆盖生产内容。预览优先的工作流程使 AI 功能强大,且无需消除人工控制。

工作流程示例

建议按工作流程进行身份验证。

工作流程1

管理仪表板操作

示例:登录的管理员更改 LemonX 设置。

推荐认证
  • WordPress 会议
  • 随机数验证
  • 能力检查
  • 可选活动日志
所需检查
  • 用户是否已登录?
  • 用户是否具有管理选项或所需的 LemonX 功能?
  • 随机数有效吗?
  • 模块是否启用?
工作流程2

外部 SEO 仪表板

示例:代理仪表板从客户站点提取 AEO 报告。

推荐认证
  • 应用程序密码或作用域 API 密钥
  • 只读 AEO 和报告范围
  • 站点身份检查
  • 请求记录
所需检查
  • 令牌有效吗?
  • 令牌是否允许报告访问?
  • 该网站是否启用了 AEO?
  • 许可证是否允许访问报告?
工作流程3

AI 代理编辑页面

示例:Claude 提议更新 WordPress 登陆页面。

推荐认证
  • MCP 授权上下文
  • WordPress 用户能力检查
  • 工具权限检查
  • 申请前预览
  • 申请批准
  • 活动日志
所需检查
  • MCP 会话是否已获得授权?
  • 用户可以阅读此页面吗?
  • 用户可以生成预览吗?
  • 用户可以应用更新吗?
  • 该页面受保护吗?
  • 预览获得批准了吗?
工作流程4

翻译队列自动化

示例:外部系统将新产品页面发送到 LemonX Verto 进行翻译。

推荐认证
  • 作用域 API 密钥或应用程序密码
  • Verto 队列范围
  • 翻译权限检查
  • 任务记录
所需检查
  • Verto 是否启用?
  • 语言是否活跃?
  • 这种内容类型可以翻译吗?
  • 有可用配额吗?
  • 翻译是否需要人工审核?
工作流程5

云网关请求

示例:LemonX Pro 在使用云连接功能之前验证权利。

推荐认证
  • 云网关令牌
  • 许可证验证
  • 站点标识
  • 计划权利
  • 使用配额检查
所需检查
  • 许可证有效吗?
  • 网站有授权吗?
  • 该计划是否包含此功能?
  • 有配额吗?
  • 是否应该记录使用情况?
工作流程6

Webhook 事件传递

示例:LemonX 将翻译完成事件发送到外部自动化系统。

推荐认证
  • Webhook 签名秘密
  • HMAC签名
  • 时间戳验证
  • HTTPS 端点
  • 事件 ID 重复数据删除
所需检查
  • 签名有效吗?
  • 时间戳是最近的吗?
  • 此事件已被处理吗?
  • 端点是否处于活动状态?
受保护的资源

有些资源应该需要更严格的检查。

某些 WordPress 资源比正常内容更敏感。 LemonX 身份验证应该可以轻松保护他们免受意外 AI 操作或过于广泛的 API 访问。

推荐的受保护资源

主页定价页面结账页面账户页面登录页面法律页面隐私政策服务条款联系表格许可证设置云网关设置API 键MCP 权限用户角色支付相关页面WooCommerce 结账流程制作模板

推荐的保护规则

  • 高影响力页面需要管理员批准。
  • 禁用在受保护页面上的直接应用。
  • 需要预览和手动确认。
  • 默认情况下阻止 AI 生成的删除。
  • 记录对受保护资源的所有更新。
  • 限制管理员更改设置。
  • 使用分期进行有风险的转换。
API 密钥管理

良好的 API 安全性始于密钥卫生。

API 密钥应被视为密码。他们可以将外部系统连接到您的 LemonX 驱动的 WordPress 站点,因此它们应该受到范围限制、监控和撤销。

推荐 API 主要特性

  • 命名键— 每个键都应该有一个清晰的名称,例如“机构仪表板”或“内部报告工具”。
  • 范围权限— 密钥应该只接收其工作流程所需的范围。
  • 有效期— 临时集成应使用过期密钥。
  • 上次使用的跟踪— 管理员应该查看密钥上次使用的时间。
  • 撤销— 按键应该易于立即禁用。
  • IP限制— 在适当的情况下,密钥可以限制为已知的服务器 IP。
  • 使用日志— 应记录敏感的关键操作。

API 关键最佳实践

  • 不要在多个系统之间共享一把密钥。
  • 不要在前端 JavaScript 中存储密钥。
  • 不要以纯文本形式通过电子邮件发送密钥。
  • 人员变动后轮换钥匙。
  • 删除未使用的键。
  • 使用仪表板的只读键。
  • 使用单独的密钥进行登台和制作。
MCP 身份验证

AI 代理需要工具访问权限,而不是无限制的管理员访问权限。

MCP 身份验证与普通 API 身份验证不同,因为用户不仅连接系统,还允许 AI 代理调用工具。这意味着 LemonX 应该对用户进行身份验证、授权会话并限制 AI 客户端可用的工具。

推荐的 MCP 会话流程

第1步:用户授权连接— WordPress 用户发起或批准 MCP 连接。

步骤 2:LemonX 验证站点身份— MCP 客户端收到明确的站点标识,以便用户知道连接的是哪个 WordPress 站点。

步骤 3:LemonX 加载允许的工具— 可用工具基于用户角色、模块设置和产品权利。

步骤4:AI调用工具— AI客户端可以根据权限调用读取、预览或应用工具。

第5步:敏感操作需要确认— 写入操作应使用预览优先的工作流程。

第 6 步:记录操作— 应存储工具调用、预览和应用的更改以供审查。

推荐的 MCP 工具访问级别

只读工具草稿创建工具预览工具应用工具发布工具设置工具受限制的管理工具

MCP 安全建议:不要将每个工具暴露给每个 AI 客户端。从只读访问权限开始,然后启用预览工具,并且仅允许为受信任的用户和工作流程应用工具。

云网关认证

云连接功能需要站点、许可证和权利验证。

LemonX Pro 和云网关工作流程可以将您的 WordPress 站点与云服务连接起来,以实现许可、高级 AI 路由、更新、使用情况跟踪、权利和高级功能。云网关身份验证应在允许云连接操作之前验证站点和计划。

建议检查

站点ID许可证密钥许可证状态计划级别产品权利使用配额请求签名云令牌有效性功能可用性账户状态

常见云网关工作流程

  • 许可证激活
  • 许可证停用
  • 权利刷新
  • 使用同步
  • AI 网关请求
  • 翻译提供商路由
  • 安全更新验证
  • 代理多站点管理
  • 企业功能验证
Webhook 安全性

在信任事件之前先验证它们。

Webhook 对于自动化很有用,但必须经过验证。任何接收 LemonX webhook 事件的系统都应确认该事件来自 LemonX 并且未被重播或修改。

推荐的标头

X-LemonX-事件X-LemonX-交货X-LemonX-时间戳X-LemonX-签名

验证逻辑示例

  1. 接收 Webhook 负载。
  2. 读取时间戳和签名标头。
  3. 使用共享秘密重新创建签名。
  4. 安全地比较签名。
  5. 拒绝旧时间戳。
  6. 检查事件ID是否已被处理。
  7. 处理事件。

推荐活动安全

  • 使用 HTTPS 端点。
  • 需要时轮换 Webhook 机密。
  • 日志传送尝试。
  • 消除重复的事件 ID。
  • 拒绝未签名的事件。
  • 验证时间戳的新鲜度。
  • 不要公开暴露 Webhook 秘密。
最佳实践

LemonX 开发人员的身份验证最佳实践。

使用最小权限

仅向每个用户、密钥、令牌或 MCP 会话授予其所需的访问权限。

分开阅读、预览和应用

不要将内容读取和内容写入视为同一个权限。

保护高影响力页面

主页、定价、结帐、帐户和法律页面应该需要更严格的批准。

轮换秘密

API 密钥、Webhook 机密和云令牌在可能暴露时应进行轮换。

避免前端秘密

切勿将 API 密钥、云令牌或提供商密钥放置在前端 JavaScript 中。

记录敏感操作

记录 API 密钥使用情况、MCP 应用操作、许可证更改、云请求和权限更新。

使用 HTTPS

所有外部 API、webhook 和云请求都应使用 HTTPS。

验证输入

不要信任未经验证和清理的用户输入、AI 输出或外部有效负载。

对有风险的工作流程使用暂存

首先在登台测试 MCP 编写工具、迁移、翻译自动化和自定义集成。

撤销未使用的访问权限

删除未使用的 API 密钥、禁用的 Webhooks、旧应用程序密码和不活动的 MCP 会话。

常见的身份验证错误。

授予 AI 完全管理员访问权限AI 代理应接收基于工具的访问权限,而不是不受限制的管理员凭据。
使用一把 API 键即可完成所有操作按系统、工作流程和权限级别分隔密钥。
跳过能力检查仅进行身份验证是不够的。经常检查认证身份是否有权限。
允许直接应用而不预览对于重要的内容更改,先预览会更安全。
在公共代码中存储秘密切勿将 API 密钥或令牌放置在前端代码、公共存储库或公开的配置文件中。
忘记许可证权利如果许可证或计划不允许,经过身份验证的用户可能仍然无法访问 Pro 功能。
忽略 webhook 签名不应信任未签名的 Webhook。
不记录敏感操作如果没有日志,就很难理解发生了什么变化以及是谁触发了它。
示例

真实 LemonX 工作流程中的身份验证场景。

场景 1:只读代理仪表板

目标:一家机构想要显示客户站点的 SEO、翻译和许可状态。

推荐访问

  • 作用域 API 键
  • 报告.阅读
  • aeo.read
  • verto.reports.read
  • 专业许可证阅读
  • 网站.health.read

Not Needed

  • 内容.应用
  • 内容.发布
  • MCP.权限.管理
  • 许可证管理

场景 2:使用 AI 预览的内容编辑器

目标:编辑希望 AI 在审阅之前改进博客文章。

推荐访问

  • WordPress 登录会话
  • 内容.阅读
  • 内容预览
  • 气分析
  • aeo.schema.generate

Not Needed

  • 内容.发布
  • 设置.管理
  • MCP.权限.管理
  • 许可证管理

场景 3:翻译人员管理多语言内容

目标:翻译人员需要排队、预览和应用翻译。

推荐访问

  • verto.语言.read
  • verto.translation.queue
  • verto.翻译.预览
  • verto.翻译.应用
  • verto.seo.generate

可选

  • 内容.阅读
  • 报告.翻译.阅读

场景 4:Claude 通过 MCP 连接

目标:网站所有者希望 Claude 安全地更新页面副本。

推荐访问

  • MCP 会话授权
  • 站点.身份.读取
  • 内容.阅读
  • 内容预览
  • MCP.previews.确认后应用
  • MCP.logs.write

保护

  • 没有删除工具
  • 没有设置工具
  • 受保护的页面需要管理员批准
  • 启用应用前预览

场景5:开发者管理云网关

目标:开发人员需要调试许可证和云使用问题。

推荐访问

  • 专业许可证阅读
  • 专业权利阅读
  • 专业用法阅读
  • 专业云状态
  • 网站.health.read

受限

  • 专业许可证管理
  • 云管理
  • 帐单变更
清单

在启用集成之前,请检查此列表。

集成是否使用了正确的身份验证方法?
它是否仅具有所需的范围?
令牌或密钥可以撤销吗?
整合是否与真正的所有者相关?
高风险操作是否与只读操作分开?
是否为 AI 编辑启用预览优先工作流程?
受保护的页面是否被阻止或限制?
Webhooks 是否经过签名和验证?
云功能是否检查权利?
是否记录敏感操作?
秘密是否安全存储?
工作流程是否已经过分阶段测试?

从第一个请求构建安全的 WordPress AI 工作流程。

LemonX 身份验证可帮助开发人员将 AI、API、MCP 客户端、webhooks 和云服务连接到 WordPress,而无需放弃控制权。

认证常见问题

WordPress 登录足以执行 LemonX 操作吗?
对于正常的管理 UI 操作,WordPress 登录加上随机数和功能检查可能就足够了。对于 API、MCP、云网关和 Webhook 工作流,建议使用额外的身份验证和权限层。
我可以将 WordPress 应用程序密码与 LemonX REST API 一起使用吗?
是的。与功能检查配合使用时,应用程序密码适用于受信任的服务器到服务器 REST API 集成。
MCP 客户端应该使用管理员访问权限吗?
不可以。MCP 客户端应使用基于工具的访问权限以及权限检查和预览优先的工作流程,而不是不受限制的管理员访问权限。
身份验证和权限有什么区别?
身份验证确认谁在发出请求。权限决定了他们可以做什么。
什么是范围?
范围定义令牌、API 密钥或集成可以访问的内容,例如 content.read、aeo.analyze 或 verto.translation.queue。
LemonX 可以限制 AI 编辑特定页面吗?
是的。受保护的资源和 MCP 权限逻辑可以限制高影响力的页面,例如定价、结帐、帐户、隐私和条款页面。
AI 生成的更改是否应该自动应用?
对于低风险草稿工作流程,自动化可能是可以接受的。对于重要内容,SEO,翻译和发布操作,建议先预览后应用。
应如何保护 Webhook 事件的安全?
Webhook 事件应使用共享密钥进行签名、加盖时间戳、通过 HTTPS 传送并检查重放攻击。
API 密钥会过期吗?
是的。建议临时集成和外部系统过期。
如果密钥暴露怎么办?
立即撤销密钥、创建新密钥、查看最近的日志并轮换任何相关机密。

身份验证是安全 WordPress AI 自动化的基础。

在 AI 代理编辑页面之前、在 API 触发翻译之前、在 Webhook 开始自动化之前以及在云功能运行之前 — LemonX 应该知道谁在请求它、他们可以做什么以及是否应该首先预览该操作。

WhatsApp+44 7724 592551