Das angezeigte Feld "Kennwort" bezieht sich nicht auf die REST-API, sondern auf den Post-Eintrag. Einzelne Beiträge in WordPress können passwortgeschützt sein, sodass Sie das Passwort benötigen, um ihren Inhalt zu sehen.
Diese Form des individuellen Post-Passworts ist kein starker Passwortmechanismus, sondern ein gemeinsames Passwort. Das Passwort ist für alle Benutzer gleich und wird unverschlüsselt und unverschlüsselt in der Datenbank gespeichert. Es war niemals als sicherer Mechanismus gedacht, es ist ein einfacher Mechanismus, um Inhalte auf einfache Weise zu verbergen.
Wenn Sie diesen Mechanismus mit der REST-API verwenden möchten, ist dies möglich. Wenn die ID des einzelnen Posts beispielsweise 123 lautet, kann ein Post folgendermaßen abgerufen werden:
http://example.com/wp-json/wp/v2/posts/123
Wenn dieser Beitrag kennwortgeschützt ist, wird er von dieser URL abgerufen:
http://example.com/wp-json/wp/v2/posts/123?password=example-pass
Referenz: https://developer.wordpress.org/rest-api/reference/posts/#retrieve-a-post
Wenn Sie eine stärkere benutzerbasierte Authentifizierung benötigen, bietet WordPress eine Möglichkeit, Beiträge stattdessen "privat" zu machen. Diese Einstellung macht Beiträge nur für Benutzerkonten sichtbar, die über die Funktion "read_private_posts" verfügen, die standardmäßig auf die Rollen "Administrator" und "Editor" beschränkt ist. (Hinweis: Privat macht den Inhalt des Beitrags nur privat, seine Titel können weiterhin angezeigt werden.)
Wenn Sie einen benutzerdefinierten Beitragstyp erstellen, wird dieselbe Funktion dem Plural Ihres Typs zugeordnet (mithilfe von plural_base). Für einen Post-Kartentyp steht Ihnen also eine ähnliche Berechtigung "read_private_cards" zur Verfügung, die Sie bei Bedarf Benutzerrollen zuweisen können.
Jetzt ist die Authentifizierung auf Benutzerebene nicht mehr in die REST-API integriert. Die standardmäßige auf WordPress-Cookies basierende Authentifizierung funktioniert einwandfrei, die API bietet jedoch keine Möglichkeit, dieses Cookie abzurufen. Es wird akzeptiert, wenn es vorhanden ist, aber Sie müssen den normalen Anmeldefluss ausführen, um ein solches Cookie zu erhalten. Wenn Sie einen anderen Authentifizierungsansatz wünschen, benötigen Sie ein Plugin dafür.
Es gibt vier solcher Plugins. Dies sind OAuth 1.0, Anwendungskennwörter, JSON-Web-Token und ein Standardauthentifizierungs-Plugin. Beachten Sie, dass die Basisauthentifizierung am einfachsten ist, jedoch auch unsicher und daher nur zu Test- und Entwicklungszwecken empfohlen wird. Es sollte nicht auf einem Live-Produktionsserver verwendet werden.
Weitere Informationen zu diesen Plugins finden Sie hier:
https://developer.wordpress.org/rest-api/using-the-rest-api/authentication/#authentication-plugins