Estoy creando un formulario de cambio de contraseña utilizando la API REST de WordPress. El usuario ingresa una nueva contraseña que luego se envía a través de AJAX a un punto final personalizado que hace esto:
$userID = get_current_user_id();
wp_set_password($password, $userID);
//Log user in and update auth cookie
wp_set_current_user($userID);
wp_set_auth_cookie($userID);
//Set the cookie immediately
$_COOKIE[AUTH_COOKIE] = wp_generate_auth_cookie($userID, 2 * DAY_IN_SECONDS);
//Return fresh nonce
return new WP_Rest_Response(array(
'nonce' => wp_create_nonce('wp_rest')
));
El punto final debe iniciar sesión automáticamente para el usuario y devolver un nuevo nonce para que no tenga que iniciar sesión nuevamente con su nueva contraseña.
El problema es que el nonce devuelto es exactamente el mismo y no es válido. Solo puedo obtener el nuevo nonce después de actualizar la página. parece que algunos $_COOKIE
o $_SESSION
Las variables en las que se basa WordPress para generar nonces no se actualizan hasta que se actualiza la página.
Gracias por tu ayuda.
Parece que algunas variables $_COOKIE o $_SESSION en las que se basa WordPress para generar nonces no se actualizan hasta que se actualiza la página.
si, y lo es LOGGED_IN_COOKIE
que por defecto es:
'wordpress_logged_in_' . COOKIEHASH
Echa un vistazo a:
-
$token = wp_get_session_token();
enwp_create_nonce()
-
$cookie = wp_parse_auth_cookie( '', 'logged_in' );
enwp_get_session_token()
-
$cookie_name = LOGGED_IN_COOKIE;
enwp_parse_auth_cookie()
Así que reemplazarías este código: (y yo no usaría wp_generate_auth_cookie()
para este propósito; y en su lugar, utilice lo que ya se ha generado a través de wp_set_auth_cookie()
)
//Set the cookie immediately
$_COOKIE[AUTH_COOKIE] = wp_generate_auth_cookie($userID, 2 * DAY_IN_SECONDS);
..Con este:
$_set_cookies = true; // for the closures
// Set the (secure) auth cookie immediately. We need only the first and last
// arguments; hence I renamed the other three, namely `$a`, `$b`, and `$c`.
add_action( 'set_auth_cookie', function( $auth_cookie, $a, $b, $c, $scheme ) use( $_set_cookies ){
if ( $_set_cookies ) {
$_COOKIE[ 'secure_auth' === $scheme ? SECURE_AUTH_COOKIE : AUTH_COOKIE ] = $auth_cookie;
}
}, 10, 5 );
// Set the logged-in cookie immediately. `wp_create_nonce()` relies upon this
// cookie; hence, we must also set it.
add_action( 'set_logged_in_cookie', function( $logged_in_cookie ) use( $_set_cookies ){
if ( $_set_cookies ) {
$_COOKIE[ LOGGED_IN_COOKIE ] = $logged_in_cookie;
}
} );
// Set cookies.
wp_set_auth_cookie($userID);
$_set_cookies = false;
Ejemplo de trabajo (probado en WordPress 4.9.5)
API REST de PHP / WP
function myplugin__change_password( $password, $userID ) {
//$userID = get_current_user_id();
wp_set_password($password, $userID);
// Log user in.
wp_set_current_user($userID);
$_set_cookies = true; // for the closures
// Set the (secure) auth cookie immediately. We need only the first and last
// arguments; hence I renamed the other three, namely `$a`, `$b`, and `$c`.
add_action( 'set_auth_cookie', function( $auth_cookie, $a, $b, $c, $scheme ) use( $_set_cookies ){
if ( $_set_cookies ) {
$_COOKIE[ 'secure_auth' === $scheme ? SECURE_AUTH_COOKIE : AUTH_COOKIE ] = $auth_cookie;
}
}, 10, 5 );
// Set the logged-in cookie immediately. `wp_create_nonce()` relies upon this
// cookie; hence, we must also set it.
add_action( 'set_logged_in_cookie', function( $logged_in_cookie ) use( $_set_cookies ){
if ( $_set_cookies ) {
$_COOKIE[ LOGGED_IN_COOKIE ] = $logged_in_cookie;
}
} );
// Set cookies.
wp_set_auth_cookie($userID);
$_set_cookies = false;
//Return fresh nonce
return new WP_Rest_Response(array(
'nonce' => wp_create_nonce('wp_rest'),
'status' => 'password_changed',
));
}
function myplugin_change_password( WP_REST_Request $request ) {
$old_pwd = $request->get_param( 'old_pwd' );
$new_pwd = $request->get_param( 'new_pwd' );
$user = wp_get_current_user();
if ( ! wp_check_password( $old_pwd, $user->user_pass, $user->ID ) ) {
return new WP_Error( 'wrong_password', 'Old password incorrect' );
}
if ( $old_pwd !== $new_pwd ) {
return myplugin__change_password( $new_pwd, $user->ID );
}
return new WP_Rest_Response( [
'nonce' => wp_create_nonce( 'wp_rest' ),
'status' => 'passwords_equal',
], 200 );
}
add_action( 'rest_api_init', function(){
register_rest_route( 'myplugin/v1', '/change-password', [
'methods' => 'POST',
'callback' => 'myplugin_change_password',
'args' => [
'old_pwd' => [
'type' => 'string',
'validate_callback' => function( $param ) {
return ! empty( $param );
}
],
'new_pwd' => [
'type' => 'string',
'validate_callback' => function( $param ) {
return ! empty( $param );
}
],
],
'permission_callback' => function(){
// Only logged-in users.
return current_user_can( 'read' );
},
] );
} );
HTML / El formulario
<fieldset>
<legend>Change Password</legend>
<p>
To change your password, please enter your old or current password.
</p>
<label>
Old Password:
<input id="old_passwd">
</label>
<label>
New Password:
<input id="new_passwd">
</label>
<label>
Old nonce: (read-only)
<input id="old_nonce" value="<?= wp_create_nonce( 'wp_rest' ) ?>"
readonly disabled>
</label>
<label>
New nonce: (read-only)
<input id="new_nonce" readonly disabled>
</label>
<button id="go" onclick="change_passwd()">Change</button>
</fieldset>
<div id="rest-res"><!-- AJAX response goes here --></div>
jQuery/AJAX
function change_passwd() {
var apiurl="/wp-json/myplugin/v1/change-password",
$ = jQuery;
$.post( apiurl, {
old_pwd: $( '#old_passwd' ).val(),
new_pwd: $( '#new_passwd' ).val(),
_wpnonce: $( '#new_nonce' ).val() || $( '#old_nonce' ).val()
}, function( res ){
$( '#new_nonce' ).val( res.nonce );
// Update the global nonce for scripts using the `wp-api` script.
if ( 'object' === typeof wpApiSettings ) {
wpApiSettings.nonce = res.nonce;
}
$( '#rest-res' ).html( '<b>Password changed successfully.</b>' );
}, 'json' ).fail( function( xhr ){
try {
var res = JSON.parse( xhr.responseText );
} catch ( err ) {
return;
}
if ( res.code ) {
$( '#rest-res' ).html( '<b>[ERROR]</b> ' + res.message );
}
});
}
Necesitas pasar el nonce a través del X-WP-Nonce
encabezado con su solicitud AJAX. Algo como:
beforeSend: function ( xhr ) {
xhr.setRequestHeader( 'X-WP-Nonce', localizedScript.nonce );
}
Dónde localizedScript
es el script en el que está localizado su nonce. Consulte el códice para obtener más información sobre la localización. Nota la localizedScript
NO se requiere método.
Sin un localizedSript
su AJAX podría tener un aspecto similar al siguiente:
var _nonce = "<?php echo wp_create_nonce( 'wp_rest' ); ?>";
$.ajax({
type: 'POST',
url: url_path,
data: {},
dataType: 'json',
beforeSend: function ( xhr ) {
xhr.setRequestHeader( 'X-WP-Nonce', _nonce );
}
});
Obviamente copiando ese guión exacto arriba no hazlo por ti, pero así es esencialmente como necesitas pasar el nonce con éxito.
vea esta solución stackoverflow.com/questions/42179869/…
-Gufran Hasan
11 de mayo de 2018 a las 13:27