Cosa stiamo costruendo dopo.

Permetti alle app WordPress headless di validare i token di accesso OAuth in ingresso contro il provider configurato, in modo che i client possano chiamare l'API REST di WP con la stessa identità che usano sul sito.

Scarica l'audit log completo o un sottoinsieme filtrato per revisioni di conformità, prove su ticket e analisi offline. Un clic dalla pagina Log.

Matching regex, pattern con caratteri jolly e regole di appartenenza ad array per i valori degli attributi OAuth. Utile per gerarchie di gruppi complesse dove il match esatto è troppo rigido.

Difende dagli attacchi brute-force distribuiti dove il traffico dei bot è spalmato su molti IP. Limite configurabile per utente e per ora.

Configura diversi provider OAuth su una singola installazione e lascia che gli utenti scelgano al momento del login. Il caso d'uso reale: organizzazioni con identità miste dove lo staff usa Azure AD e gli studenti usano Google Workspace. Una funzionalità di v2.0 perché la UI delle impostazioni e il gestore di callback devono essere ristrutturati attorno a una lista di configurazioni.

Configurazione per-sito e a livello di rete, con attivazione della licenza sui sottositi. Mirato alle reti dove ogni sottosito ha bisogno dello stesso SSO.

SAML nativo insieme a OAuth / OIDC, senza eseguire un plugin separato. Raddoppia il mercato enterprise indirizzabile. Stesso modello di impostazioni, nuovo modulo di protocollo.

Quando il provider di identità revoca una sessione, WP forza il logout dell'utente al successivo caricamento della pagina. Implementa la specifica OpenID Connect Back-Channel Logout. Importante per i compratori attenti alla sicurezza.

Crea automaticamente un record cliente WooCommerce la prima volta che un utente accede tramite OAuth, in modo che la cronologia degli ordini parta dal posto giusto. Apre il caso d'uso SSO per WooCommerce.

Uno step TOTP richiesto dopo il ciclo OAuth, per gli amministratori che vogliono un'autenticazione con doppio blocco anche quando il provider è affidabile.

Effettua una POST di un payload verso un URL configurato quando un utente fa login, viene creato, o fallisce l'autenticazione. Sblocca la sincronizzazione esterna con CRM, analytics e sistemi di audit senza un plugin personalizzato.

Filtri PHP o un semplice linguaggio di espressione per rimappare le risposte userinfo OAuth prima che WP le veda. Per i provider che restituiscono forme insolite che la notazione puntata non può esprimere.

Un piccolo widget sulla dashboard di WP che mostra i tentativi di login, successi e fallimenti degli ultimi 7 giorni. Fa sembrare il plugin attivo per gli admin che altrimenti si dimenticherebbero che c'è.

Crea account WP per un intero gruppo OAuth prima che gli utenti accedano per la prima volta, in modo che gli admin possano assegnare capacità e metadati in anticipo.