Могу ли я программно войти в систему без пароля?

32

Я вручную создаю пользователей программно и хочу войти в систему только что созданного пользователя. WP облегчает доступ к хешированному паролю, но не к текстовой версии. Есть ли способ использовать wp_signon () без открытого текста?

Я нашел одного человека, который утверждает, что сделал это здесь , но это не сработало для меня.

БЛАГОДАРНОСТЬ!

login authentication

— emersonthis
источник

Я думаю, что вы можете просто назначить пользовательский объект пользователя, которого вы только что создали, глобальной переменной current_user

— onetrickpony

32

wp_set_auth_cookie() войдет в систему без необходимости знать его пароль.

— Milo
источник

Это сработало отлично. Тем не менее, когда я использую его, условное is_user_logged_in()не работает. Знаете ли вы, если он смотрит на что-то другое, чем печенье?

— emersonthis

2

@ Эмерсон - на каком крючке вы их регистрируете? это должно быть перед отправкой заголовков. также попробуйте, wp_set_current_userпрежде чем войти в них.

— Майло

Я вообще-то не звонил с крючка. Я только что добавил wp_set_auth_cookie()в свою функцию входа. Я думаю, мне нужно переосмыслить это. Я также посмотрю wp_set_current_user и сообщу. Большое спасибо за вашу помощь в этом!

— emersonthis

Ну, возможно ли войти в систему пользователя, не имея его данных в базе данных? Достаточно просто установить несколько файлов cookie в браузере через скрипт? Пожалуйста, дайте мне знать.

— Шаси Кант

46

Следующий код выполняет работу для автоматического входа без пароля!

// Automatic login //
$username = "Admin";
$user = get_user_by('login', $username );

// Redirect URL //
if ( !is_wp_error( $user ) )
{
    wp_clear_auth_cookie();
    wp_set_current_user ( $user->ID );
    wp_set_auth_cookie  ( $user->ID );

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit();
}

— Шёрд Линдерс
источник

Ну, это прекрасно работает. Достаточно просто имени пользователя, которое не зависит от регистра.

— Шаси Кант

get_user_by()возвращает false при ошибке, поэтому вы должны проверить false вместо объекта WP_Error

— Брайан,

@Sjoerd Linders, где я могу подключить ваш скрипт, чтобы заставить пользователя подключиться?

— RafaSashi

Где я храню этот блок кода в каком файле?

— Сгири

8

Я нашел другое решение здесь, которое использует лучший подход (по крайней мере, на мой взгляд ...). Не нужно устанавливать какие-либо куки, он использует API Wordpress:

/**
 * Programmatically logs a user in
 * 
 * @param string $username
 * @return bool True if the login was successful; false if it wasn't
 */
    function programmatic_login( $username ) {
        if ( is_user_logged_in() ) {
            wp_logout();
        }

    add_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );    // hook in earlier than other callbacks to short-circuit them
    $user = wp_signon( array( 'user_login' => $username ) );
    remove_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );

    if ( is_a( $user, 'WP_User' ) ) {
        wp_set_current_user( $user->ID, $user->user_login );

        if ( is_user_logged_in() ) {
            return true;
        }
    }

    return false;
 }

 /**
  * An 'authenticate' filter callback that authenticates the user using only     the username.
  *
  * To avoid potential security vulnerabilities, this should only be used in     the context of a programmatic login,
  * and unhooked immediately after it fires.
  * 
  * @param WP_User $user
  * @param string $username
  * @param string $password
  * @return bool|WP_User a WP_User object if the username matched an existing user, or false if it didn't
  */
 function allow_programmatic_login( $user, $username, $password ) {
    return get_user_by( 'login', $username );
 }

Я думаю, что код не требует пояснений:

Фильтр ищет объект WP_User для данного имени пользователя и возвращает его. Вызов функции wp_set_current_userс возвращаемым объектом объектом WP_User wp_signon, проверка с помощью функции, is_user_logged_inчтобы убедиться, что вы вошли в систему, и все!

Хороший и чистый кусок кода на мой взгляд!

— Майк
источник

где использовать programmatic_login?

— RafaSashi

Идеальный ответ!

— Максимус

@Shebo Ваш комментарий не верный. Первая строка функции проверяет, $credentialsявляется ли массив пустым или нет. Если массив не пустой (как в моем ответе), значения из массива используются для аутентификации пользователя.

— Майк

@ Майк, вау, как я это пропустил ... Плохо, извини, что ввел в заблуждение. Я удалю свой первый комментарий, чтобы избежать путаницы. Отличное решение , хотя :)

— Шебо

5

Это хорошо работает для меня:

  clean_user_cache($user->ID);
  wp_clear_auth_cookie();
  wp_set_current_user($user->ID);
  wp_set_auth_cookie($user->ID, true, false);
  update_user_caches($user);

— Павел
источник

2

В дополнение к Майку, Полу и Шерду:

Чтобы лучше обрабатывать login.phpперенаправления:

//---------------------Automatic login--------------------

if(!is_user_logged_in()){

    $username = "user1";

    if($user=get_user_by('login',$username)){

        clean_user_cache($user->ID);

        wp_clear_auth_cookie();
        wp_set_current_user( $user->ID );
        wp_set_auth_cookie( $user->ID , true, false);

        update_user_caches($user);

        if(is_user_logged_in()){

            $redirect_to = user_admin_url();
            wp_safe_redirect( $redirect_to );
            exit;
        }
    }
}
elseif('http://' . $_SERVER['HTTP_HOST'] . $_SERVER['SCRIPT_NAME'] == wp_login_url()){

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit;
}

Быть размещенным wp-config.phpсразу после

require_once(ABSPATH . 'wp-settings.php');

FYI

Основываясь на вышеупомянутом решении, я выпустил плагин, позволяющий пользователю входить в систему из одного wordpress в другой путем синхронизации пользовательских данных и сеанса cookie:

https://wordpress.org/plugins/user-session-synchronizer/

— RafaSashi
источник