如何从ouside wordpress / php验证用户？

我正在研究将嵌入在wordpress页面中的ajax应用程序。Ajax应用程序与在tomcat上运行的servlet交换数据。现在，Servlet需要一种方法来确定是否来自登录到wordpress的用户的请求。并且，如果用户已登录，则servlet还必须能够确定用户ID，以便能够查询数据库。如果用户未登录，则该请求将被拒绝。

因此，换句话说，仅当导致请求的用户登录到wordpress（3.3.x版）时，才需要让servlet执行请求。servlet（tomcat）和wordpress（apache2）都在同一台物理计算机上运行并共享同一数据库。

从理论上讲，可以通过以下操作轻松解决：

1. 在wordpress登录期间，一些用户令牌会存储在javascript变量中。
2. 每次调用时，ajax应用程序都会将用户令牌转发给servlet。
3. servlet使用令牌查询wordpress是否有效（即，如果用户已登录），并执行或拒绝该请求。

问题是如何在wordpress方面实现呢？
因为，使该理论如此复杂的是我还没有完成任何php编程的事实。

首先，我正在考虑将wordpress_logged_in（auth）cookie传输到servlet，并让servlet查询authpress是否仍然有效的wordpress。但是看起来似乎无法完成，因为wp_validate_auth_cookie（）总是失败，即使传递了已登录用户的Cookie数据也是如此。另一个解决方案是开发一个插件，该插件将sessionid和userid存储在一个表中，而servlet可以很容易地查询该插件。也许还有其他解决方案...

WordPress已经具有通过XMLRPC服务器内置的API。意思是，您可以从Java应用程序发出XMLRPC请求，并验证用户名/密码。不幸的是，没有办法直接通过它进行身份验证。

就是说，自己动手很容易。只需加入xmlrpc_methods过滤器，然后添加您的过滤器即可。添加的数组键是您从应用程序调用的xmlrpc方法，而值将是WordPress XMLRPC服务器调用的函数。

<?php
add_filter('xmlrpc_methods', 'wpse39662_add_login_method' );
/**
 * Filters the XMLRPC methods to allow just checking the login/pass of
 * a given users
 */
function wpse39662_add_login_method( $methods )
{
    $methods['wpse39662.login'] = 'wpse39662_check_login';
    return $methods;
}

然后，回调函数wpse39662_check_login将会传递一个参数，即发送到XMLRPC服务器的一组东西。

<?php
function wpse39662_check_login( $args )
{
    $username = $args[0];
    $password = $args[1];

    $user = wp_authenticate( $username, $password );

    if( is_wp_error( $user ) )
    {
        return false;
    }
    return true;
}

这就是插件的全部内容。安装了该程序并在WP站点上启用了XMLRPC之后，您应该能够使用某些XMLRPC客户端发出请求（我确定Java拥有一个）。

这是我用来测试上述代码的代码（Python XMLRPC客户端）。

>>> import xmlrpclib as xmlrpc
>>> s = xmlrpc.ServerProxy('http://wordpress.dev/xmlrpc.php')
>>> s.wpse39662.login('admin', 'password')
True

WordPress（当前）通过检查用户在登录时发出的cookie之一来检查用户是否仍在登录。它通过执行一些散列来构造此Cookie的内容。详细信息在/wp-includes/pluggable.php中的“ wp_generate_auth_cookie”函数中：

function wp_generate_auth_cookie($user_id, $expiration, $scheme = 'auth') {
    $user = get_userdata($user_id);

    $pass_frag = substr($user->user_pass, 8, 4);

    $key = wp_hash($user->user_login . $pass_frag . '|' . $expiration, $scheme);
    $hash = hash_hmac('md5', $user->user_login . '|' . $expiration, $key);

    $cookie = $user->user_login . '|' . $expiration . '|' . $hash;

    return apply_filters('auth_cookie', $cookie, $user_id, $expiration, $scheme);
}

您可以在Java代码中重新创建此算法（使用此算法和其他auth_cookie函数）以进行相同的检查。JS可以用来确保cookie被发送到您的servlet。

否则，XMLRPC可能是一个好主意。您可以编写一个新方法（如此处另一个解决方案中所述）来验证auth cookie（而不是像通常那样验证用户名和密码）。

获取Exec-PHP插件，然后制作一个带有漂亮的永久链接（http://mysite/user_id/）和get_current_user_id()API参考上的代码的WordPress页面（而不是帖子）：

<?php
$user_id = get_current_user_id();
if ($user_id == 0) {
    echo 'You are currently not logged in.';
} else {
    echo 'You are logged in as user '.$user_id.'.';
}
?>

然后，您可以提取客户端发送给您的Cookie，并将其放入的GET请求中http://127.0.0.1/user_id/。然后，您将知道该用户是否已登录以及他们的用户ID是什么。

您可以在非wp页面上执行以下操作：

<?php
require('./wp-blog-header.php');
// Make sure ^ points to the root of your WP installation

if ( is_user_logged_in() ) {
   // Perform your request here
}

?>

这是一个完成工作的WordPress单文件插件：

function yournamespace_validateAuthCookie($cookie, $scheme = 'logged_in') {
    return wp_validate_auth_cookie($cookie, $scheme);
}

function yournamespace_new_xmlrpc_methods($methods) {
    $methods['yournamespace.validateAuthCookie'] = 'yournamespace_validateAuthCookie';
    return $methods;
}
add_filter('xmlrpc_methods', 'yournamespace_new_xmlrpc_methods');

它基本上公开了一种新的XML-RPC方法，您可以使用该方法要求WordPress验证wordpress_logged_in_...cookie。

然后，您需要编写一些代码来查询此方法，并向其传递wordpress_logged_in_...cookie 的值。

false如果验证成功，则此方法将返回（如果cookie不验证）或用户ID。