Lo que estamos construyendo a continuación.

Permite a las aplicaciones headless de WordPress validar los tokens de acceso OAuth entrantes contra el proveedor configurado, para que los clientes puedan llamar a la API REST de WP con la misma identidad que usan en el sitio.

Descarga el log completo o un subconjunto filtrado para revisiones de cumplimiento, evidencia en tickets y análisis offline. Un clic desde la página de Logs.

Coincidencia por regex, patrones con comodines y reglas de pertenencia a arrays para valores de atributos OAuth. Útil para jerarquías de grupos complejas donde la coincidencia exacta es demasiado rígida.

Defiende contra ataques de fuerza bruta distribuidos donde el tráfico bot se reparte entre muchas IPs. Límite configurable por usuario y por hora.

Configura varios proveedores OAuth en una sola instalación y deja que los usuarios elijan al iniciar sesión. El caso de uso real: organizaciones con identidades mixtas donde el personal usa Azure AD y los estudiantes usan Google Workspace. Una función de la v2.0 porque la UI de ajustes y el manejador de callbacks necesitan restructurarse en torno a una lista de configuraciones.

Configuración por sitio y a nivel de red, con activación de licencia en todos los subsitios. Dirigido a redes donde cada subsitio necesita el mismo SSO.

SAML nativo junto con OAuth / OIDC, sin necesidad de ejecutar un plugin separado. Duplica el mercado empresarial. Mismo modelo de ajustes, nuevo módulo de protocolo.

Cuando el proveedor de identidad revoca una sesión, WP desconecta al usuario en la siguiente carga de página. Implementa la especificación OpenID Connect Back-Channel Logout. Importante para compradores conscientes de la seguridad.

Crea automáticamente un registro de cliente de WooCommerce la primera vez que un usuario inicia sesión mediante OAuth, para que su historial de pedidos empiece en el lugar correcto. Abre el caso de uso SSO para WooCommerce.

Un paso TOTP requerido después del ciclo OAuth, para administradores que quieren autenticación con doble seguridad incluso cuando el proveedor es de confianza.

Envía un payload a una URL configurada cuando un usuario inicia sesión, es creado o falla la autenticación. Habilita la sincronización externa con CRMs, analíticas y sistemas de auditoría sin un plugin personalizado.

Filtros PHP o un lenguaje de expresiones simple para remapear las respuestas userinfo de OAuth antes de que las vea WP. Para proveedores que devuelven formas inusuales que la notación de puntos no puede expresar.

Un pequeño widget en el panel de WP que muestra los intentos de login, éxitos y fallos de los últimos 7 días. Hace que el plugin se sienta activo para administradores que si no lo olvidan.

Crea cuentas de WP para un grupo OAuth completo antes de que los usuarios inicien sesión por primera vez, para que los administradores puedan asignar capacidades y metadatos con antelación.