alcançando a implementação de login sem usar sessões
Respostas:
Ele usa cookies simples e armazena o lado do cliente com informações de estado de login.
+
=
wordpress_7339a175323c25a8547b5a6d26c49afa = seu nome de usuário% 7C1457109155% 7C170f103ef3dc57cdb1835662d97c1e13;
De onde vêm todos esses biscoitos e sal?
O salt está no seu arquivo wp-config.php:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');As frases exclusivas são usadas em uma função hash criptográfica
O cookie de autenticação, cujo nome é armazenado dentro de AUTH_COOKIE, formado pela concatenação de "wordpress_" com a soma md5 do siteurl definida em default-constants.php. Esse é o comportamento padrão e pode ser substituído de dentro do seu arquivo de configuração, configurando algumas das constantes antecipadamente.
O cookie de autenticação é uma concatenação do nome de usuário, um carimbo de data e hora até o qual o cookie de autenticação é válido. E um HMAC, que é uma espécie de hash com distorção de chave para aqueles que obtiveram um TL; DR no momento. As três variáveis são concatenadas com o caractere de barra |.
Aqui está como o HMAC é construído:
$hash = hash_hmac('md5', $username . '|' . $expiration, wp_hash($username . substr($user->user_pass, 8, 4) . '|' . $expiration, $scheme));Isso é seguro?
De acordo com este artigo, de onde a maioria das informações contidas nesta resposta levaria cerca de uma semana para um hacker ter força bruta no envio de 30 solicitações por segundo se soubessem qual era sua frase única e 200.000.000.000.000.000.000.000.000.000.000.000 de vezes mais se suas chaves fossem únicas.
Os cookies são apenas o armazenamento do cliente dos dados da sessão ... Cookies do WordPress
De fato, pode-se ter cookies sem sessões, mas nenhuma sessão sem cookies.
session_start()explicitamente. Agora, obviamente, o wordpress não tem session_start()nenhum lugar em seu núcleo. Veja onde estou ficando confuso com seu último comentário?