我在使用ajax驱动的页面登录/注销脚本时遇到了一些问题。在WordPress中登录使用ajax登录/注销脚本
第一个场景: 该网站应完全ajax。在Ajax请求上,只应更改内容和菜单。这适用于正常页面和帖子,但登录/注销给wp_create_nonce和check_ajax_referer带来了一些安全问题。
下面是相关代码:
的functions.php
/* Login */
function ajax_login_init() {
wp_register_script('ajax-login-script', get_stylesheet_directory_uri() . '/js/ajax.login.script.js', array('jquery'));
wp_enqueue_script('ajax-login-script');
wp_localize_script('ajax-login-script', 'ajax_login_object', array(
'ajaxurl' => admin_url('admin-ajax.php'),
'redirecturl' => home_url(),
'loadingmessage' => __('Sending user info, please wait...')
));
// Enable the user with no privileges to run ajax_login() in AJAX
add_action('wp_ajax_nopriv_ajaxlogin', 'ajax_login');
}
function ajax_login(){
// First check the nonce, if it fails the function will break
check_ajax_referer('ajax-login-nonce', 'security');
// Nonce is checked, get the POST data and sign user on
$info = array();
$info['user_login'] = $_POST['username'];
$info['user_password'] = $_POST['password'];
$info['remember'] = true;
$user_signon = wp_signon($info, false);
if (is_wp_error($user_signon)){
echo json_encode(array('loggedin'=>false, 'message'=>__('Wrong username or password.')));
} else {
echo json_encode(array('loggedin'=>true, 'message'=>__('Login successful, redirecting...')));
}
wp_die();
}
/** Logout */
function ajax_logout_init() {
wp_register_script('ajax-logout-script', get_stylesheet_directory_uri() . '/js/ajax.logout.script.js', array('jquery'));
wp_enqueue_script('ajax-logout-script');
global $current_user;
wp_localize_script('ajax-logout-script', 'ajax_logout_object', array(
'LoggedIn' => is_user_logged_in(),
'username' => $current_user->display_name,
'logoutURL' => wp_logout_url(),
'ajax_url' => admin_url('admin-ajax.php'),
'logout_nonce' => wp_create_nonce('ajax-logout-nonce')
));
add_action('wp_ajax_ajaxlogout', 'ajax_logout');
}
function ajax_logout(){
// First check the nonce, if it fails the function will break
check_ajax_referer('ajax-logout-nonce', 'security');
//check_ajax_referer('ajax-logout-nonce', 'ajaxsecurity');
wp_clear_auth_cookie();
wp_logout();
ob_clean(); // probably overkill for this, but good habit
wp_die();
}
add_action('init', 'ajax_login_init');
add_action('init', 'ajax_logout_init');
ajax.login.script.js
jQuery(document).ready(function($) {
// Show the login dialog box on click
$('body').on('click', '.modal-login a', function(e) {
$('body').prepend('<div class="login_overlay"></div>');
$('form#login').fadeIn(500);
$('div.login_overlay, form#login a.close').on('click', function(){
$('div.login_overlay').remove();
$('form#login').hide();
});
e.preventDefault();
});
// Perform AJAX login on form submit
$('form#login').on('submit', function(e){
//console.log(ajax_login_object);
$('form#login p.status').show().text(ajax_login_object.loadingmessage);
$.ajax({
type: 'POST',
dataType: 'json',
url: ajax_login_object.ajaxurl,
data: {
'action': 'ajaxlogin', //calls wp_ajax_nopriv_ajaxlogin
'username': $('form#login #username').val(),
'password': $('form#login #password').val(),
'security': $('form#login #security').val() },
success: function(data){
$('form#login p.status').text(data.message);
if (data.loggedin == true){
//document.location.href = ajax_login_object.redirecturl;
$('div.login_overlay').remove();
$('form#login').hide();
$(".logo a").trigger("click");
}
},
error: function(xhr, status, error) {
var err = eval("(" + xhr.responseText + ")");
alert(err.Message);
}
});
e.preventDefault();
});
});
ajax.logout.script.js
jQuery(document).ready(function($) {
// Perform AJAX logout on Click
$('body').on('click','.modal-logout a', function(e) {
//console.log(ajax_logout_object);
$.ajax({
type: 'POST',
url: ajax_logout_object.ajax_url,
data: {
'action': 'ajaxlogout',
'ajaxsecurity': ajax_logout_object.logout_nonce,
},
success: function(data){
console.log(data);
$(".logo a").trigger("click");
},
error: function(xhr, status, error) {
var err = eval("(" + xhr.responseText + ")");
alert(err.Message);
}
});
e.preventDefault();
});
});
登录/注销过程重新工作如果我不使用的功能
check_ajax_referer('ajax-login-nonce', 'security');
如果我让这个代码盟友精细,check_ajax_referer总是返回-1,但AJAX查询将会成功。在研究中,似乎无法验证临时数。
所以,如果我刷新页面,我可以登录没有问题,但不能直接注销后。我需要再次刷新页面(我不想要连续的背景音乐)。注销并直接再次登录有同样的问题。
因此,这里是我的问题:
- 我是否需要check_ajax_referer?
- 我为什么可以登录与激活check_ajax_referer,但登录后未注销直接(不东东刷新页面)
- 同2,但其他方向提前 问候
感谢,Bandicut
对于“nonce”创建,您应该使用函数wp_create_nonce('your-secret-word');',您应该将它传递给数据对象中的'安全'键。 那么你应该用'check_ajax_referer('your-secret-word','security');'检查安全令牌是否正确。 此外,在注销脚本中,您使用ajaxsecurity密钥,并且应该使用安全性,或者在检查标记时检查标记 - check_ajax_referer('your-secret-word','ajaxsecurity');'因为第二个参数实际上是要使用的关键来自数据对象。 请参阅:https://codex.wordpress.org/Function_Reference/check_ajax_referer – niklaz
请在浏览器中的私人窗口中检查。 –
@niklaz好的...改变了它,但问题仍然存在。似乎Wordpress会在登录和注销时更改安全令牌。因为我只在全页面刷新时创建令牌,所以可能会出现错误检查令牌的问题。 – bandicut1979