Чи можу я програмно увійти до користувача без пароля?

32

Я вручну створюю користувачів програмно, і хочу ввійти в новоствореного користувача. WP дозволяє легко отримати доступ до хешованого пароля, але не до відкритого тексту. Чи існує спосіб використання wp_signon () без пароля прямого тексту?

Я знайшов одну людину, яка стверджує, що зробила це тут , але мені це не вийшло.

СПАСИБІ!

login authentication

— emersonthis
джерело

Я думаю, що ви можете просто призначити об'єкт користувача того,

— кого

32

wp_set_auth_cookie() увійде користувач, не знаючи його пароль.

— Міло
джерело

Це спрацювало чудово. Однак, коли я ним користуюся, умовне is_user_logged_in(), здається, не працює. Чи знаєте ви, чи дивиться на щось інше, ніж печиво?

— emersonthis

2

@Emerson - на якому гачку ви їх входите? це повинно бути, перш ніж надсилати заголовки. також спробуйтеwp_set_current_user перш ніж увійти в них.

— Майло,

Я насправді взагалі не називав це з гачка. Я щойно додавwp_set_auth_cookie() у свою функцію входу. Я думаю, що мені потрібно переосмислити це. Я також шукаю wp_set_current_user і звітую про це. Дуже дякую за допомогу з цього приводу!

— emersonthis

Ну, чи можна увійти до користувача, не маючи його даних у базі даних? Досить лише встановити кілька файлів cookie в браузері за допомогою скрипту? Будь ласка, дай мені знати.

— shasi kanth

45

Наступний код виконує завдання автоматичного входу без пароля!

// Automatic login //
$username = "Admin";
$user = get_user_by('login', $username );

// Redirect URL //
if ( !is_wp_error( $user ) )
{
    wp_clear_auth_cookie();
    wp_set_current_user ( $user->ID );
    wp_set_auth_cookie  ( $user->ID );

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit();
}

— Шеорд Ліндерс
джерело

Ну, це чудово працює. Досить лише імені користувача, що не враховує регістр.

— shasi kanth

get_user_by()повертає помилку на помилку, тож слід перевірити помилковість замість об'єкта WP_Error

— Брайан

@Sjoerd Linders, де я можу підключити ваш сценарій, щоб змусити користувача підключитися?

— Рафасаші

Де я зберігаю цей блок коду в якому файлі?

— sgiri

8

Я знайшов інше рішення тут , використовує кращий підхід (по крайней мере , на мій погляд ...). Не потрібно встановлювати файли cookie, він використовує API Wordpress:

/**
 * Programmatically logs a user in
 * 
 * @param string $username
 * @return bool True if the login was successful; false if it wasn't
 */
    function programmatic_login( $username ) {
        if ( is_user_logged_in() ) {
            wp_logout();
        }

    add_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );    // hook in earlier than other callbacks to short-circuit them
    $user = wp_signon( array( 'user_login' => $username ) );
    remove_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );

    if ( is_a( $user, 'WP_User' ) ) {
        wp_set_current_user( $user->ID, $user->user_login );

        if ( is_user_logged_in() ) {
            return true;
        }
    }

    return false;
 }

 /**
  * An 'authenticate' filter callback that authenticates the user using only     the username.
  *
  * To avoid potential security vulnerabilities, this should only be used in     the context of a programmatic login,
  * and unhooked immediately after it fires.
  * 
  * @param WP_User $user
  * @param string $username
  * @param string $password
  * @return bool|WP_User a WP_User object if the username matched an existing user, or false if it didn't
  */
 function allow_programmatic_login( $user, $username, $password ) {
    return get_user_by( 'login', $username );
 }

Я думаю, що код пояснює себе:

Фільтр шукає об'єкт WP_User для заданого імені користувача та повертає його. Виклик до функції wp_set_current_userз об’єктом WP_User, який повернувся wp_signon, перевірка функції, is_user_logged_inщоб переконатися, що ви зареєстровані, і все!

Приємний і чистий фрагмент коду на мій погляд!

— Майк
джерело

де використовувати programmatic_login?

— RafaSashi

Ідеальна відповідь!

— Максим

@Shebo Ваш коментар не здається правильним. Перший рядок функції перевіряє, чи масив $credentialsпорожній чи ні. Якщо масив не порожній (що є випадком у моїй відповіді), значення з масиву використовуються для автентифікації користувача.

— Майк

@Mike вау, як я це пропустив ... Моє погано, вибачте за введення в оману. Я видалю свій перший коментар, щоб уникнути плутанини. Чудове рішення, хоча :)

— Shebo

5

Це добре для мене:

  clean_user_cache($user->ID);
  wp_clear_auth_cookie();
  wp_set_current_user($user->ID);
  wp_set_auth_cookie($user->ID, true, false);
  update_user_caches($user);

— Пол
джерело

2

Окрім Майка, Пола та Шйора:

Щоб краще обробляти login.phpпереадресації:

//---------------------Automatic login--------------------

if(!is_user_logged_in()){

    $username = "user1";

    if($user=get_user_by('login',$username)){

        clean_user_cache($user->ID);

        wp_clear_auth_cookie();
        wp_set_current_user( $user->ID );
        wp_set_auth_cookie( $user->ID , true, false);

        update_user_caches($user);

        if(is_user_logged_in()){

            $redirect_to = user_admin_url();
            wp_safe_redirect( $redirect_to );
            exit;
        }
    }
}
elseif('http://' . $_SERVER['HTTP_HOST'] . $_SERVER['SCRIPT_NAME'] == wp_login_url()){

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit;
}

Щоб бути поміщений в wp-config.phpтільки після

require_once(ABSPATH . 'wp-settings.php');

FYI

На підставі вищезазначеного рішення я випустив плагін, щоб користувач увійшов від однієї wordpress до іншої, синхронізувавши дані користувачів та сеанс cookie:

https://wordpress.org/plugins/user-session-synchronizer/

— Рафасаші
джерело