Як перевірити користувача від ouside wordpress / php?

Я працюю над додатком ajax, який буде вбудований у сторінку wordpress. Додаток ajax обмінюється даними з сервлетами, що працюють на tomcat. Тепер сервлетам потрібен спосіб визначити, чи надходить запит від користувача, який увійшов до wordpress. І якщо користувач увійшов у систему, сервлети також повинні мати можливість визначати ідентифікатор користувачів, щоб мати можливість запитувати базу даних. Якщо користувач не зареєструється, у запиті буде відхилено.

Отже, іншими словами, мені потрібно дозволити сервлету виконувати запит, лише якщо користувач, який викликав запит, увійшов до wordpress (версія 3.3.x). І сервлет (tomcat), і wordpress (apache2) працюють на одній фізичній машині і мають спільну базу даних.

Теоретично це можна було легко вирішити, зробивши наступне:

1. Під час входу в wordpress деякий маркер користувача зберігається у змінній javascript.
2. Додаток ajax пересилає користувацький маркер сервлетам під час кожного дзвінка.
3. Сервлети використовують маркер для запиту wordpress, якщо він дійсний (тобто, якщо користувач увійшов у систему) і виконувати або відхиляти запит.

Питання в тому, як це можна реалізувати на стороні wordpress?
Тому що те, що робить теорію такою складною, це той факт, що я ще не зробив жодного програмування на php.

Спочатку я думав передати cookie wordpress_logged_in (auth) сервлету і дозволити сервлету запитувати wordpress, якщо файл cookie автентичності все-таки дійсний. Але, як здається, цього зробити не можна, оскільки wp_validate_auth_cookie () завжди виходить з ладу, навіть якщо передаються файли cookie даних, які зареєстровані користувачем. Іншим рішенням може бути розробка плагіна, який зберігає sessionid та userid у таблиці, яку легко можна буде запитати сервлетами. А може, є інше рішення ...

У WordPress вже є вбудований API через сервер XMLRPC. Це означає, що ви можете зробити запит XMLRPC з програми java та підтвердити ім’я користувача / пароль. На жаль, немає способу просто пройти автентифікацію через нього як є.

Однак, дуже просто прокатати своє. Просто підключіть xmlrpc_methodsфільтр і додайте своє. Ключ масиву, який ви додаєте, являє собою метод xmlrpc, який ви телефонуєте зі свого додатка, і значенням буде функція, яку викликає сервер WordPress XMLRPC.

<?php
add_filter('xmlrpc_methods', 'wpse39662_add_login_method' );
/**
 * Filters the XMLRPC methods to allow just checking the login/pass of
 * a given users
 */
function wpse39662_add_login_method( $methods )
{
    $methods['wpse39662.login'] = 'wpse39662_check_login';
    return $methods;
}

І функція зворотного виклику, wpse39662_check_loginпередасть йому один аргумент, масив речей, надісланий на сервер XMLRPC.

<?php
function wpse39662_check_login( $args )
{
    $username = $args[0];
    $password = $args[1];

    $user = wp_authenticate( $username, $password );

    if( is_wp_error( $user ) )
    {
        return false;
    }
    return true;
}

Ось все це як плагін . Якщо на вашому WP-сайті встановлено встановлений і XMLRPC, ви зможете робити запити з деяким клієнтом XMLRPC (я впевнений, що у Java є такий).

Ось код, який я використовував для тестування вище (клієнт Python XMLRPC).

>>> import xmlrpclib as xmlrpc
>>> s = xmlrpc.ServerProxy('http://wordpress.dev/xmlrpc.php')
>>> s.wpse39662.login('admin', 'password')
True

Wordpress (на даний момент) перевіряє, чи користувач все ж увійшов у систему, перевіривши одне з файлів cookie, які він видає після входу. Він будує вміст цього файлу cookie, роблячи хеширование. Деталі містяться у функції "wp_generate_auth_cookie" в /wp-includes/pluggable.php:

function wp_generate_auth_cookie($user_id, $expiration, $scheme = 'auth') {
    $user = get_userdata($user_id);

    $pass_frag = substr($user->user_pass, 8, 4);

    $key = wp_hash($user->user_login . $pass_frag . '|' . $expiration, $scheme);
    $hash = hash_hmac('md5', $user->user_login . '|' . $expiration, $key);

    $cookie = $user->user_login . '|' . $expiration . '|' . $hash;

    return apply_filters('auth_cookie', $cookie, $user_id, $expiration, $scheme);
}

Ви можете заново створити цей алгоритм (використовуючи цю та інші функції auth_cookie) у вашому коді Java, щоб зробити ті самі перевірки. JS можна використовувати, щоб переконатися, що файл cookie надсилається на ваш сервлет.

Інакше XMLRPC може бути хорошою ідеєю. Ви можете написати новий метод (як пояснено в іншому рішення тут) для перевірки файлу cookie (замість перевірки імені користувача та пароля, як це зазвичай робиться).

Отримайте плагін Exec-PHP , а потім зробіть сторінку WordPress (а не повідомлення) з приємною посиланнями ( http://mysite/user_id/) та кодом у get_current_user_id()довідці API :

<?php
$user_id = get_current_user_id();
if ($user_id == 0) {
    echo 'You are currently not logged in.';
} else {
    echo 'You are logged in as user '.$user_id.'.';
}
?>

Потім ви можете вилучити файли cookie, які клієнт вам надсилає, і поставити їх у GETзапиті http://127.0.0.1/user_id/. Тоді ви дізнаєтесь, чи користувач увійшов у систему та який його ідентифікатор

Ви можете зробити щось подібне на сторінках, що не є WP:

<?php
require('./wp-blog-header.php');
// Make sure ^ points to the root of your WP installation

if ( is_user_logged_in() ) {
   // Perform your request here
}

?>

Це однофакторний плагін WordPress, який виконує цю роботу:

function yournamespace_validateAuthCookie($cookie, $scheme = 'logged_in') {
    return wp_validate_auth_cookie($cookie, $scheme);
}

function yournamespace_new_xmlrpc_methods($methods) {
    $methods['yournamespace.validateAuthCookie'] = 'yournamespace_validateAuthCookie';
    return $methods;
}
add_filter('xmlrpc_methods', 'yournamespace_new_xmlrpc_methods');

В основному це відкриває новий метод XML-RPC, за допомогою якого ви можете попросити WordPress перевірити wordpress_logged_in_...файл cookie.

Потім потрібно написати якийсь код, щоб запитувати цей метод і передавати йому значення wordpress_logged_in_...файлу cookie.

Цей метод поверне або false(якщо файл cookie не підтверджує), або ідентифікатор користувача, якщо перевірка буде успішною.