恐怕我自己无法解决这个问题。奇怪的是,这个问题对于我的安装来说似乎是独一无二的。
在我基于 WordPress 的网站上,用户在登录时遇到问题,尤其是在使用手机进行身份验证时:他们正在注销(即使选中“记住我”)并且必须重新输入他们的凭据(之后他们'再次注销)。据我推测,很可能是他们各自的移动互联网服务提供商一直在为他们的设备动态分配新的 IP 地址,导致身份验证失败。
当我使用我的桌面登录时,一切都会正常工作。但是,假设我已成功使用 Google Chrome 登录该站点,并且我打开 Mozilla Firefox (或任何其他浏览器)实例同时登录,Chrome 的用户“会话”将立即关闭(我知道这是因为一个异步脚本正在请求用户是否登录,并在我使用其他浏览器登录后提示我登录)。因此,我相信整个 WordPress 身份验证也与用户代理有关。
尽管我非常感谢在从不同 IP 或浏览器访问站点时自动取消正在运行的会话所提供的额外安全性,但我的用户却没有。即使对我自己来说,使用三台不同的机器加上平板电脑和手机从任何可能的地方访问该站点也非常麻烦(最终我不再费心登录,只是等着回家)。
由于 WordPress 身份验证使用 cookie,因此我研究了它们是如何生成的。该wp_generate_auth_cookie()方法使用用户名、部分哈希密码、过期时间和盐(定义在 中的常量盐wp-config.php),但它既不使用 IP 地址也不使用用户代理。我从字面上搜索了整个 WordPress 文件夹中的“用户代理”或“IP 地址”,但没有包含这些术语的登录相关脚本(只有少数插件根本不影响用户会话)。
这让我很困惑。如果 WordPress 不使用身份验证 cookie 存储该数据,它甚至如何意识到我使用不同的浏览器/计算机登录?将我和我的用户注销的检查发生在哪里?
您对如何解决问题有任何进一步的想法吗?
非常感谢您提前!!
哈蒂