Posso accedere a livello di codice a un utente senza password?

32

Sto creando manualmente gli utenti a livello di codice e desidero accedere all'utente appena creato. WP semplifica l'accesso alla password con hash, ma non alla versione in testo normale. C'è un modo per usare wp_signon () senza la password in chiaro?

Ho trovato una persona che afferma di averlo fatto qui , ma non ha funzionato per me.

GRAZIE!

login authentication

— emersonthis
fonte

Penso che puoi semplicemente assegnare l'oggetto utente dell'utente che hai appena creato alla variabile globale current_user

— onetrickpony,

32

wp_set_auth_cookie() accederà un utente senza dover conoscere la sua password.

— Milo
fonte

Questo ha funzionato alla grande. Tuttavia, quando lo uso, il condizionale is_user_logged_in()non sembra funzionare. Sai se sta guardando qualcosa di diverso rispetto ai cookie?

— emersonthis

2

@Emerson - quale hook li stai collegando? deve essere prima dell'invio delle intestazioni. prova anche wp_set_current_userprima di accedere.

— Milo,

In realtà non lo chiamavo affatto da un gancio. Ho appena aggiunto la wp_set_auth_cookie()mia funzione di accesso. Immagino di dover ripensarlo. Cercherò anche wp_set_current_user e riporterò indietro. Grazie mille per il tuo aiuto su questo!

— emersonthis

Bene, è possibile accedere a un utente senza che i suoi dettagli esistano nel database? Basta impostare pochi cookie nel browser tramite script? Per favore mi faccia sapere.

— Shasi Kanth,

45

Il seguente codice funziona per l'accesso automatico, senza password!

// Automatic login //
$username = "Admin";
$user = get_user_by('login', $username );

// Redirect URL //
if ( !is_wp_error( $user ) )
{
    wp_clear_auth_cookie();
    wp_set_current_user ( $user->ID );
    wp_set_auth_cookie  ( $user->ID );

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit();
}

— Sjoerd Linders
fonte

Bene, funziona benissimo. È sufficiente solo il nome utente, che non distingue tra maiuscole e minuscole.

— Shasi Kanth,

get_user_by()restituisce false in caso di errore, quindi dovresti controllare false invece dell'oggetto WP_Error

— Brian

@Sjoerd Linders, dove posso collegare il tuo script per forzare la connessione di un utente?

— RafaSashi,

Dove posso conservare questo blocco di codice in quale file?

— sgiri,

8

Ho trovato un'altra soluzione qui che utilizza un approccio migliore (almeno secondo me ...). Non è necessario impostare alcun cookie, utilizza l'API di Wordpress:

/**
 * Programmatically logs a user in
 * 
 * @param string $username
 * @return bool True if the login was successful; false if it wasn't
 */
    function programmatic_login( $username ) {
        if ( is_user_logged_in() ) {
            wp_logout();
        }

    add_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );    // hook in earlier than other callbacks to short-circuit them
    $user = wp_signon( array( 'user_login' => $username ) );
    remove_filter( 'authenticate', 'allow_programmatic_login', 10, 3 );

    if ( is_a( $user, 'WP_User' ) ) {
        wp_set_current_user( $user->ID, $user->user_login );

        if ( is_user_logged_in() ) {
            return true;
        }
    }

    return false;
 }

 /**
  * An 'authenticate' filter callback that authenticates the user using only     the username.
  *
  * To avoid potential security vulnerabilities, this should only be used in     the context of a programmatic login,
  * and unhooked immediately after it fires.
  * 
  * @param WP_User $user
  * @param string $username
  * @param string $password
  * @return bool|WP_User a WP_User object if the username matched an existing user, or false if it didn't
  */
 function allow_programmatic_login( $user, $username, $password ) {
    return get_user_by( 'login', $username );
 }

Penso che il codice sia autoesplicativo:

Il filtro cerca l'oggetto WP_User per il nome utente specificato e lo restituisce. Una chiamata alla funzione wp_set_current_usercon l'oggetto WP_User restituito da wp_signon, un controllo con la funzione is_user_logged_inper assicurarsi che tu abbia effettuato l'accesso, e il gioco è fatto!

Un bel pezzo di codice a mio avviso!

— Mike
fonte

dove usare programmatic_login?

— RafaSashi,

Risposta perfetta!

— Massimo

@Shebo Il tuo commento non sembra corretto. La prima riga della funzione controlla se l'array $credentialsè vuoto o meno. Se l'array non è vuoto (come nella mia risposta), i valori dell'array vengono utilizzati per autenticare l'utente.

— Mike,

@ Mike wow, come mi sono perso ... Mio male, scusa per il fuorviante. Eliminerò il mio primo commento, per evitare confusione. Ottima soluzione però :)

— Shebo

5

Questo funziona bene per me:

  clean_user_cache($user->ID);
  wp_clear_auth_cookie();
  wp_set_current_user($user->ID);
  wp_set_auth_cookie($user->ID, true, false);
  update_user_caches($user);

— Paolo
fonte

2

Oltre a Mike, Paul e Sjoerd:

Per gestire meglio i login.phpreindirizzamenti:

//---------------------Automatic login--------------------

if(!is_user_logged_in()){

    $username = "user1";

    if($user=get_user_by('login',$username)){

        clean_user_cache($user->ID);

        wp_clear_auth_cookie();
        wp_set_current_user( $user->ID );
        wp_set_auth_cookie( $user->ID , true, false);

        update_user_caches($user);

        if(is_user_logged_in()){

            $redirect_to = user_admin_url();
            wp_safe_redirect( $redirect_to );
            exit;
        }
    }
}
elseif('http://' . $_SERVER['HTTP_HOST'] . $_SERVER['SCRIPT_NAME'] == wp_login_url()){

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );
    exit;
}

Da inserire wp-config.phpsubito dopo

require_once(ABSPATH . 'wp-settings.php');

FYI

Sulla base della soluzione di cui sopra, ho rilasciato un plug-in per mantenere l'utente connesso da un wordpress all'altro sincronizzando i dati dell'utente e la sessione dei cookie:

https://wordpress.org/plugins/user-session-synchronizer/

— RafaSashi
fonte