我不太明白您是否希望用户主要在您的 node.js 应用程序上进行身份验证,然后为 WordPress 创建 cookie,或者相反,但是一旦您了解 WordPress 是如何做到这一点的,您就可以同时完成这两者.
首先,WordPress 使用大量哈希和盐来保护其 cookie,因此您需要知道这些哈希和盐在哪里能够为您的 nodejs 应用程序上的那些定义相同的值。
在wp-config.php您将找到我们正在寻找的哈希和盐的常量,我认为您只需将 、 和 的常量值传输到您的LOGGED_IN_KEYnodejsLOGGED_IN_SALT应用NONCE_KEY程序NONCE_SALT。您可能会更好地查看wp-includes/default-constants.phpWordPress 保留其默认常量值的文件,请注意 if(defined(..)) 因为如果常量是在此文件之前的其他地方定义的(可能在 上wp-config.php)该值将来自那个而不是来自wp-includes/default-constants.php文件。
现在,您需要了解 WordPress 如何创建其 cookie。这是登录 cookie 的示例:
Cookie Name: wordpress_logged_in_2801795354f6f1c2d2ab3b48033a8257
Cookie Value: admin|1392386298|647852d61caf4cfdea975d54ecb09ca8
Cookie Value: %user_login%|%cookie_expire_time%|%hashed_sliced_user_hashed_password%
你需要让你的 nodejs 应用程序理解这个 cookie,能够像 WordPress 一样破解它。
在 WordPress 上创建身份验证 cookie 的功能位于wp-includes/pluggable.php
$logged_in_cookie = wp_generate_auth_cookie($user_id, $expiration, 'logged_in');
//...
setcookie(LOGGED_IN_COOKIE, $logged_in_cookie, $expire, COOKIEPATH, COOKIE_DOMAIN, $secure_logged_in_cookie, true);
请注意,该常量LOGGED_IN_COOKIE默认设置为 on wp-includes/default-constants.php,在您拥有该COOKIEHASH常量的同一文件上,您需要将其值传输到您的 nodejs 应用程序,以便也能够读取和验证 cookie 名称,这COOKIEHASH只是网站 URL 的哈希值MD5。
if ( !defined( 'COOKIEHASH' ) ) {
$siteurl = get_site_option( 'siteurl' );
if ( $siteurl )
define( 'COOKIEHASH', md5( $siteurl ) );
else
define( 'COOKIEHASH', '' );
}
//...
define('LOGGED_IN_COOKIE', 'wordpress_logged_in_' . COOKIEHASH);
如果您不想传输所有这些,您可以在 wp-config.php 上设置LOGGED_IN_COOKIE您想要用于 WordPress 的已登录 cookie 名称的常量,并将这个常量映射到您的 nodejs,如下所示:
//WordPress wp-config.php
define('LOGGED_IN_COOKIE', 'logged_in_'.'%privateHashKey%');
//NODEJS
var LOGGED_IN_COOKIE = 'logged_in_'+'%privateHashKey%';
最后你需要描绘函数wp_generate_auth_cookie和wp_hashhash_hmac to your nodejs application if you want to create the cookie there, the first two functions reside on the filewp-inclues/pluggable.php thehash_hmac resides onwp-includes/compat.php`。
if ( !function_exists('wp_generate_auth_cookie') ) :
//...
function wp_generate_auth_cookie($user_id, $expiration, $scheme = 'auth') {
$user = get_userdata($user_id);
$pass_frag = substr($user->user_pass, 8, 4);
$key = wp_hash($user->user_login . $pass_frag . '|' . $expiration, $scheme);
$hash = hash_hmac('md5', $user->user_login . '|' . $expiration, $key);
$cookie = $user->user_login . '|' . $expiration . '|' . $hash;
return apply_filters('auth_cookie', $cookie, $user_id, $expiration, $scheme);
}
endif;
一旦您了解了wp_generate_auth_cookie函数在做什么,您还可以解码 cookie 并在您的 nodejs 应用程序上验证 WordPress 用户。
请注意,WordPress 对登录的 cookie 值所做的只是将用户的散列密码切分到数据库中,与用户登录名和 cookie 的到期时间(unix 时间)合并,然后将所有散列在一起。然后,他使用用户登录名、cookie 的过期时间和他刚刚创建的哈希创建 cookie 值,使用前两个值,他可以使用来自用户的哈希密码验证“令牌哈希”。
您可能想知道要在 WordPress 上注销用户,您需要在注销 url 上为用户传递 nonce 密钥,因此如果您想通过 nodejs 应用程序从 WordPress 注销用户,您可能需要传输 nonce 密钥功能。
如果您的应用程序将位于子域中,您可能需要声明 on wp-config.php,否则 WordPress 将仅使用 cookie 上的完整域,并且 cookie 将不可用于子域。
define('COOKIE_DOMAIN', '.domain.com');
希望这能给你更好的方向。祝你好运。