允许用户从 Wordpress 页面使用其用户帐户使用 node.js 应用程序的最佳方式是什么?
我曾尝试将 session 信息存储在 Redis 中,但我对 PHP 不是很熟悉,并且遇到了没有存储 session 的死胡同。我用过这个guide .
我也尝试过使用 node-phpass但它没有很好的记录。我已成功连接到 Wordpress 数据库,但我使用 node-phpass 生成的密码哈希值与 wp_users 表中的哈希值不匹配。
这是我用来测试 node-phpass 的:
var mysql = require('mysql');
var connection = mysql.createConnection({
host : 'localhost',
user : 'wordpress',
password : 'jPWrwvGbYXMADd8F',
database : 'wordpress',
});
connection.query('SELECT * FROM wp_users', function(err, rows) {
if (err) {
console.log("Database error: " + err);
} else {
for (var i = 0; i < rows.length; i++){
console.log("Rows[" + i + "] : " + rows[i].user_login + " " + passwordHash.checkPassword('secret',rows[i].user_pass));
}
}
});
除了共享 session 之外,还有其他更好的方法吗? OAuth?
最佳答案
我不太明白你是否希望用户主要在你的 node.js 应用程序上进行身份验证,然后为 WordPress 创建 cookie,或者相反,但是一旦你了解了 WordPress 是如何做的,你就可以实现两者。
首先,WordPress 使用大量哈希和盐来保护其 cookie,因此您需要知道这些哈希和盐在哪里才能为您的 nodejs 应用程序定义相同的值。
在 wp-config.php 上,您会找到我们正在寻找的哈希和盐的常量,我认为您只需要将 的常量值传输到您的 nodejs 应用程序LOGGED_IN_KEY、LOGGED_IN_SALT、NONCE_KEY 和 NONCE_SALT。您可能会更好地查看文件 wp-includes/default-constants.php,其中 WordPress 保留其默认常量值,请注意 if(defined(..)) 因为如果常量是在此文件之前的其他地方定义(可能在 wp-config.php 上)值将来自那个而不是来自 wp-includes/default-constants.php文件。
现在,您需要了解 WordPress 如何创建其 cookie。 这是登录 cookie 的示例:
Cookie Name: wordpress_logged_in_2801795354f6f1c2d2ab3b48033a8257
Cookie Value: admin|1392386298|647852d61caf4cfdea975d54ecb09ca8
Cookie Value: %user_login%|%cookie_expire_time%|%hashed_sliced_user_hashed_password%
你需要让你的 nodejs 应用程序理解这个 cookie,能够像 WordPress 一样破解它。
在 WordPress 上创建身份验证 cookie 的函数位于 wp-includes/pluggable.php
$logged_in_cookie = wp_generate_auth_cookie($user_id, $expiration, 'logged_in');
//...
setcookie(LOGGED_IN_COOKIE, $logged_in_cookie, $expire, COOKIEPATH, COOKIE_DOMAIN, $secure_logged_in_cookie, true);
请注意,常量 LOGGED_IN_COOKIE 是在 wp-includes/default-constants.php 上默认设置的,在您拥有 COOKIEHASH 的同一文件中> 常量,您需要将其值传输到您的 nodejs 应用程序以便能够读取和验证 cookie 名称,COOKIEHASH 只是使用 md5 散列的网站 URL。
if ( !defined( 'COOKIEHASH' ) ) {
$siteurl = get_site_option( 'siteurl' );
if ( $siteurl )
define( 'COOKIEHASH', md5( $siteurl ) );
else
define( 'COOKIEHASH', '' );
}
//...
define('LOGGED_IN_COOKIE', 'wordpress_logged_in_' . COOKIEHASH);
如果您不想传输所有这些,您可以在 wp-config.php 上设置 LOGGED_IN_COOKIE 常量,其中包含您希望用于 WordPress 的已登录 cookie 名称,并仅设置此常量到你的 nodejs,像这样:
//WordPress wp-config.php
define('LOGGED_IN_COOKIE', 'logged_in_'.'%privateHashKey%');
//NODEJS
var LOGGED_IN_COOKIE = 'logged_in_'+'%privateHashKey%';
最后,如果您想在那里创建 cookie,您需要将函数 wp_generate_auth_cookie、wp_hash 和 hash_hmac 写入您的 nodejs 应用程序,前两个函数位于文件wp-inclues/pluggable.phphash_hmac位于wp-includes/compat.php`。
if ( !function_exists('wp_generate_auth_cookie') ) :
//...
function wp_generate_auth_cookie($user_id, $expiration, $scheme = 'auth') {
$user = get_userdata($user_id);
$pass_frag = substr($user->user_pass, 8, 4);
$key = wp_hash($user->user_login . $pass_frag . '|' . $expiration, $scheme);
$hash = hash_hmac('md5', $user->user_login . '|' . $expiration, $key);
$cookie = $user->user_login . '|' . $expiration . '|' . $hash;
return apply_filters('auth_cookie', $cookie, $user_id, $expiration, $scheme);
}
endif;
一旦您理解了 wp_generate_auth_cookie 函数的作用,您还可以解码 cookie 并在您的 nodejs 应用程序上验证 WordPress 用户。
请注意,WordPress 为登录的 cookie 值所做的只是简单地将用户的散列密码切片到您的数据库中,与用户登录名和 cookie 的过期时间(unix 时间)合并,然后散列全部一起。然后他用用户登录名创建 cookie 值,cookie 的过期时间和他刚刚创建的哈希值,用前两个值他可以用用户的哈希密码验证“ token 哈希值”。
您可能想知道要在 WordPress 上注销用户,您需要在注销 url 上为用户传递 nonce key ,因此如果您想通过 nodejs 应用程序从 WordPress 中注销用户,您可能需要传输nonce 键函数。
如果您的应用程序将在子域中,您可能需要在 wp-config.php 上声明,否则 WordPress 将只使用 cookie 上的完整域,并且 cookie 将不可用对于子域。
define('COOKIE_DOMAIN', '.domain.com');
希望这能给你更好的指导。祝你好运。
关于php - node.js 中的 Wordpress 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17984765/