我在使用ajax驅動的頁面登錄/註銷腳本時遇到了一些問題。在WordPress中登錄使用ajax登錄/註銷腳本
第一個場景: 該網站應完全ajax。在Ajax請求上,只應更改內容和菜單。這適用於正常頁面和帖子,但登錄/註銷給wp_create_nonce和check_ajax_referer帶來了一些安全問題。
下面是相關代碼:
的functions.php
/* Login */
function ajax_login_init() {
wp_register_script('ajax-login-script', get_stylesheet_directory_uri() . '/js/ajax.login.script.js', array('jquery'));
wp_enqueue_script('ajax-login-script');
wp_localize_script('ajax-login-script', 'ajax_login_object', array(
'ajaxurl' => admin_url('admin-ajax.php'),
'redirecturl' => home_url(),
'loadingmessage' => __('Sending user info, please wait...')
));
// Enable the user with no privileges to run ajax_login() in AJAX
add_action('wp_ajax_nopriv_ajaxlogin', 'ajax_login');
}
function ajax_login(){
// First check the nonce, if it fails the function will break
check_ajax_referer('ajax-login-nonce', 'security');
// Nonce is checked, get the POST data and sign user on
$info = array();
$info['user_login'] = $_POST['username'];
$info['user_password'] = $_POST['password'];
$info['remember'] = true;
$user_signon = wp_signon($info, false);
if (is_wp_error($user_signon)){
echo json_encode(array('loggedin'=>false, 'message'=>__('Wrong username or password.')));
} else {
echo json_encode(array('loggedin'=>true, 'message'=>__('Login successful, redirecting...')));
}
wp_die();
}
/** Logout */
function ajax_logout_init() {
wp_register_script('ajax-logout-script', get_stylesheet_directory_uri() . '/js/ajax.logout.script.js', array('jquery'));
wp_enqueue_script('ajax-logout-script');
global $current_user;
wp_localize_script('ajax-logout-script', 'ajax_logout_object', array(
'LoggedIn' => is_user_logged_in(),
'username' => $current_user->display_name,
'logoutURL' => wp_logout_url(),
'ajax_url' => admin_url('admin-ajax.php'),
'logout_nonce' => wp_create_nonce('ajax-logout-nonce')
));
add_action('wp_ajax_ajaxlogout', 'ajax_logout');
}
function ajax_logout(){
// First check the nonce, if it fails the function will break
check_ajax_referer('ajax-logout-nonce', 'security');
//check_ajax_referer('ajax-logout-nonce', 'ajaxsecurity');
wp_clear_auth_cookie();
wp_logout();
ob_clean(); // probably overkill for this, but good habit
wp_die();
}
add_action('init', 'ajax_login_init');
add_action('init', 'ajax_logout_init');
ajax.login.script.js
jQuery(document).ready(function($) {
// Show the login dialog box on click
$('body').on('click', '.modal-login a', function(e) {
$('body').prepend('<div class="login_overlay"></div>');
$('form#login').fadeIn(500);
$('div.login_overlay, form#login a.close').on('click', function(){
$('div.login_overlay').remove();
$('form#login').hide();
});
e.preventDefault();
});
// Perform AJAX login on form submit
$('form#login').on('submit', function(e){
//console.log(ajax_login_object);
$('form#login p.status').show().text(ajax_login_object.loadingmessage);
$.ajax({
type: 'POST',
dataType: 'json',
url: ajax_login_object.ajaxurl,
data: {
'action': 'ajaxlogin', //calls wp_ajax_nopriv_ajaxlogin
'username': $('form#login #username').val(),
'password': $('form#login #password').val(),
'security': $('form#login #security').val() },
success: function(data){
$('form#login p.status').text(data.message);
if (data.loggedin == true){
//document.location.href = ajax_login_object.redirecturl;
$('div.login_overlay').remove();
$('form#login').hide();
$(".logo a").trigger("click");
}
},
error: function(xhr, status, error) {
var err = eval("(" + xhr.responseText + ")");
alert(err.Message);
}
});
e.preventDefault();
});
});
ajax.logout.script.js
jQuery(document).ready(function($) {
// Perform AJAX logout on Click
$('body').on('click','.modal-logout a', function(e) {
//console.log(ajax_logout_object);
$.ajax({
type: 'POST',
url: ajax_logout_object.ajax_url,
data: {
'action': 'ajaxlogout',
'ajaxsecurity': ajax_logout_object.logout_nonce,
},
success: function(data){
console.log(data);
$(".logo a").trigger("click");
},
error: function(xhr, status, error) {
var err = eval("(" + xhr.responseText + ")");
alert(err.Message);
}
});
e.preventDefault();
});
});
登錄/註銷過程重新工作如果我不使用的功能
check_ajax_referer('ajax-login-nonce', 'security');
如果我讓這個代碼盟友精細,check_ajax_referer總是返回-1,但AJAX查詢將會成功。在研究中,似乎無法驗證臨時數。
所以,如果我刷新頁面,我可以登錄沒有問題,但不能直接註銷後。我需要再次刷新頁面(我不想要連續的背景音樂)。註銷並直接再次登錄有同樣的問題。
因此,這裏是我的問題:
- 我是否需要check_ajax_referer?
- 我爲什麼可以登錄與激活check_ajax_referer,但登錄後未註銷直接(不東東刷新頁面)
- 同2,但其他方向提前 問候
感謝,Bandicut
對於「nonce」創建,您應該使用函數wp_create_nonce('your-secret-word');',您應該將它傳遞給數據對象中的'安全'鍵。 那麼你應該用'check_ajax_referer('your-secret-word','security');'檢查安全令牌是否正確。 此外,在註銷腳本中,您使用ajaxsecurity密鑰,並且應該使用安全性,或者在檢查標記時檢查標記 - check_ajax_referer('your-secret-word','ajaxsecurity');'因爲第二個參數實際上是要使用的關鍵來自數據對象。 請參閱:https://codex.wordpress.org/Function_Reference/check_ajax_referer – niklaz
請在瀏覽器中的私人窗口中檢查。 –
@niklaz好的...改變了它,但問題仍然存在。似乎Wordpress會在登錄和註銷時更改安全令牌。因爲我只在全頁面刷新時創建令牌,所以可能會出現錯誤檢查令牌的問題。 – bandicut1979