wordpress登录代码分析

这几天折腾多站点，被登录问题搞得焦头烂额。在网上找了半天，扒了几篇文章。分析用户登录过程：

单个站点容易一点，如果要多站点，并且支持注册，是一个很大的麻烦。

其实WP本身就是写博客合适，并不适合做大规模的交互站点。要实现多用户功能、注册功能、好友这些的，其实不适合用这个。

还发现一个问题，注册功能不能注册到你创建的一个子站点下面，而是和子站点在等级上是平行的。在这个上面走了弯路。

0. //form提交表单 提交给了http://www.febbird.net/wp-login.php   
1. //form提交表单 中 ：   
2. //参数：user_login //用户登陆名   
3. //user_pass 密码   
4. //一个隐藏的input名为redirect_to 参数为http://www.febbird.net/wp-admin/ 跳转地址———— -wp - login.php分析—————————————————- -   
5. //验证$action是否包含‘logout’, ’lostpassword’, ’retrievepassword’, ’resetpass’, ’rp’, ’register’, ’login’，以默认为$action = ’login’; 登录屏幕 行350   
6.   
7. if ( !in_array($action, array(‘logout’, ’lostpassword’, ’retrievepassword’, ’resetpass’, ’rp’, ’register’, ’login’), true) && false == = has_filter(‘login_form_’ . $action) )   
8.     $action = ’login’;   
9.   
10. //判断form 中method值是否等于post 行384   
11. $http_post = (‘POST’ == $_SERVER['REQUEST_METHOD']);   
12. switch ($action)   
13. {   
14.   
15.     //当$action=login 和 默认为登陆 行556   
16. case ’login’ :   
17. default:   
18.     $secure_cookie = ”;   
19.     $interim_login = isset($_REQUEST['interim-login']);   
20.   
21.     //如果用户希望SSL，但会议没有SSL，强制安全cookie。   
22.     if ( !emptyempty($_POST['log']) && !force_ssl_admin() )   
23.     {   
24.   
25.         //获取用户名   
26.         $user_name = sanitize_user($_POST['log']);   
27.   
28.         //检索用户信息的登录名。并返回用户对象   
29.         if ( $user = get_userdatabylogin($user_name) )   
30.         {   
31.   
32.             //get_user_option()检索用户选项，包括global、user或blog。   
33.             if ( get_user_option(‘use_ssl’, $user->ID) )   
34.             {   
35.                 $secure_cookie = true;   
36.                 force_ssl_admin(true);   
37.             }   
38.         }   
39.     }   
40.   
41.     //判断重定向地址是否为空 redirect_to值为http://www.febbird.net/wp-admin/   
42.     if ( isset( $_REQUEST['redirect_to'] ) )   
43.     {   
44.         $redirect_to = $_REQUEST['redirect_to'];   
45.   
46.         // Redirect to https if user wants ssl   
47.         // 重定向到HTTPS如果用户想SSL   
48.         if ( $secure_cookie && false != = strpos($redirect_to, ’wp-admin’) )   
49.             $redirect_to = preg_replace(‘|^http://|’, ’https://’, $redirect_to);   
50.     }   
51.     else  
52.     {   
53.         //admin_url() 返回 管理员后台地址 http://www.febbird.net/wp-admin/   
54.         $redirect_to = admin_url();   
55.     }   
56.     //再次认证 $_REQUEST['reauth'] 为空 $reauth值为false   
57.     $reauth = emptyempty($_REQUEST['reauth']) ? false : true;   
58.   
59.     if ( !$secure_cookie && is_ssl() && force_ssl_login() && !force_ssl_admin() && ( 0 != = strpos($redirect_to, ’https’) ) && ( 0 == = strpos($redirect_to, ’http’) ) )   
60.         $secure_cookie = false;   
61.     //wp_signon授权给用户并可记住该用户名称 $secure_cookie为空   
62.     $user = wp_signon(”, $secure_cookie);   
63.   
64.     //返回 $redirect_to= http://www.febbird.net/wp-admin/   
65.     $redirect_to = apply_filters(‘login_redirect’, $redirect_to, isset( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : ”, $user);   
66.   
67.     // 判断$user是否有错误   
68.     // $user值为object(WP_Error)#3813 (2) { ["errors"]=> array(0) { } ["error_data"]=> array(0) { } }   
69.     // $user为空   
70.     // $reauth值为false   
71.     if ( !is_wp_error($user) && !$reauth )   
72.     {   
73.         if ( $interim_login )   
74.         {   
75.             $message = ’<p>’ . __(‘You have logged in successfully.’) . ’</p>’;   
76.             login_header( ”, $message );   
77.             ? >   
78.             < script type = “text/javascript” > setTimeout( function()   
79.             {   
80.                 window.close()   
81.             }, 8000);   
82.             < / script >   
83.             < p class = “alignright” >   
84.                             < input type = “button” class = “button-primary” value = “<?php esc_attr_e(‘Close’); ?>” onclick = “window.close()” / > < / p >   
85.                                                < / div > < / body > < / html >   
86.                                                    <? php exit;   
87.         }   
88.         //判断 $redirect_to是否为空   
89.         if ( ( emptyempty( $redirect_to ) || $redirect_to == ’wp-admin/’ || $redirect_to == admin_url() ) )   
90.     {   
91.   
92.             // 如果用户不属于一个博客，将它们发送到用户管理员。如果用户不能编辑岗位，送他们到他们的个人资料。   
93.             // is_multisite（）判断是否启用了多站点   
94.             // get_active_blog_for_user 为用户获取活动的博客-可以是主博客或博客列表   
95.             if ( is_multisite() && !get_active_blog_for_user($user->id) )   
96.                 $redirect_to = user_admin_url();   
97.             elseif ( is_multisite() && !$user->has_cap(‘read’) )   
98.             $redirect_to = get_dashboard_url( $user->id );   
99.             elseif ( !$user->has_cap(‘edit_posts’) )   
100.             $redirect_to = admin_url(‘profile.php’);   
101.         }   
102.         //重定向到其它URL的安全方式。保证结果HTTP定位信息头的合法性   
103.         wp_safe_redirect($redirect_to);   
104.         exit();   
105.     }   
106. }   
107. }   
108. }   
109.   
110. //判断重定向地址是否为空 redirect_to值为http://www.febbird.net/wp-admin/ 行573   
111.   
112. if ( isset( $_REQUEST['redirect_to'] ) )   
113. {   
114.     $redirect_to = $_REQUEST['redirect_to'];   
115.   
116.     //重定向到HTTPS如果用户想SSL   
117.     if ( $secure_cookie && false != = strpos($redirect_to, ’wp-admin’) )   
118.         $redirect_to = preg_replace(‘|^http://|’, ’https://’, $redirect_to);   
119. }   
120. else  
121. {   
122.   
123.     //admin_url() 返回 管理员后台地址 http://www.febbird.net/wp-admin/   
124.     $redirect_to = admin_url();   
125. }   
126.   
127. //判断重定向地址是否为空 redirect_to值为http://www.febbird.net/wp-admin/ 行577   
128. if ( isset( $_REQUEST['redirect_to'] ) )   
129. {   
130.     $redirect_to = $_REQUEST['redirect_to'];   
131.   
132.     // 重定向到HTTPS如果用户想SSL   
133.     if ( $secure_cookie && false != = strpos($redirect_to, ’wp-admin’) )   
134.         $redirect_to = preg_replace(‘|^http://|’, ’https://’, $redirect_to);   
135. }   
136. else  
137. {   
138.   
139.     //admin_url() 返回 管理员后台地址 http://www.febbird.net/wp-admin/   
140.     $redirect_to = admin_url();   
141. }   
142.   
143. //再次认证 $_REQUEST['reauth'] 为空 $reauth值为false   
144. $reauth = emptyempty($_REQUEST['reauth']) ? false : true;   
145.   
146.           //判断 $redirect_to是否为空 行617   
147.           if ( ( emptyempty( $redirect_to ) || $redirect_to == ’wp-admin/’ || $redirect_to == admin_url() ) )   
148. {   
149.   
150.     // is_multisite（）判断是否启用了多站点   
151.     // get_active_blog_for_user 为用户获取活动的博客-可以是主博客或博客列表   
152.     if ( is_multisite() && !get_active_blog_for_user($user->id) )   
153.         $redirect_to = user_admin_url();   
154.     elseif ( is_multisite() && !$user->has_cap(‘read’) )   
155.     $redirect_to = get_dashboard_url( $user->id );   
156.     elseif ( !$user->has_cap(‘edit_posts’) )   
157.     $redirect_to = admin_url(‘profile.php’);   
158. }   
159.   
160. //重定向到其它URL的安全方式。保证结果HTTP定位信息头的合法性   
161. wp_safe_redirect($redirect_to);   
162. exit();   
163. }   
164.   
165. ———— -get_userdatabylogin（）函数定义 在 wp - includes / pluggable.php 行214 ——   
166.   
167. //$user_login用户信息的登录名。并返回用户对象   
168. function get_userdatabylogin($user_login)   
169. {   
170.   
171.     return get_user_by(‘login’, $user_login);//定义get_user_by() 在 wp-includes/pluggable.php 行169   
172. }   
173.   
174. //检索一个特定领域的用户   
175. //定义get_user_by() 在 wp-includes/pluggable.php 行169   
176. //$field=login 条件 $value=$user_login 登陆名   
177. function get_user_by($field, $value)   
178. {   
179.     global $wpdb;   
180.     switch ($field)   
181.     {   
182.     case ’id’:   
183.         //get_userdata()返回的对象中含有用户相关信息，用户编号被传递   
184.         return get_userdata($value);   
185.         break;   
186.     case ’slug’:   
187.         $user_id = wp_cache_get($value, ’userslugs’);   
188.         $field = ’user_nicename’;   
189.         break;   
190.     case ’email’:   
191.         $user_id = wp_cache_get($value, ’useremail’);   
192.         $field = ’user_email’;   
193.         break;   
194.         //登陆   
195.     case ’login’:   
196.         //sanitize_user 消除用户名中的不安全字符   
197.         $value = sanitize_user( $value );   
198.         // wp_cache_get()如果缓存对象未过期，该函数返回缓存对象的值。否则返回false。   
199.         //在 wp-includes/cache.php 行90   
200.         $user_id = wp_cache_get($value, ’userlogins’);   
201.         $field = ’user_login’;   
202.         break;   
203.     default:   
204.         return false;   
205.     }   
206.   
207.     if ( false != = $user_id )   
208.         return get_userdata($user_id);   
209.   
210.     if ( !$user = $wpdb->get_row( $wpdb->prepare(“SELECT * FROM $wpdb->users WHERE $field = %s”, $value) ) )   
211.         return false;   
212.   
213.     _fill_user($user);   
214.   
215.     return $user;   
216. }   
217.   
218. // wp_cache_get()如果缓存对象未过期，该函数返回缓存对象的值。否则返回false。   
219. //在 wp-includes/cache.php 缓存类 行90   
220. function wp_cache_get($id, $flag = ”)   
221. {   
222.     global $wp_object_cache;   
223.     //get() 在wp-includes/cache.php 行347   
224.     return $wp_object_cache->get($id, $flag);   
225. }   
226.   
227. //取得存在的缓存数据 ，根据id的分组搜索数据，如果数据存在，返回数据   
228.   
229. function get($id, $group = ’default‘)   
230. {   
231.     if ( emptyempty ($group) )   
232.         $group = ’default‘;   
233.   
234.     if ( isset ($this->cache[$group][$id]) )   
235.     {   
236.         $this->cache_hits += 1;   
237.         if ( is_object($this->cache[$group][$id]) )   
238.             return wp_clone($this->cache[$group][$id]);   
239.         else  
240.             return $this->cache[$group][$id];   
241.     }   
242.   
243.     if ( isset ($this->non_existent_objects[$group][$id]) )   
244.         return false;   
245.   
246.     $this->non_existent_objects[$group][$id] = true;   
247.     $this->cache_misses += 1;   
248.     return false;   
249. }   
250.   
251. ——————– -get_user_option(）在wp - includes / user.php 行250——————– -   
252.   
253.                                       // 检索用户选项，包括global、user或blog。   
254.                                       // $option 用户选项名称 $user 用户id   
255.                                       // $deprecated 如果之前的用户选项不存在，是否需要在选项表中查找一个选项   
256.                                       function get_user_option( $option, $user = 0, $deprecated = ” )   
257. {   
258.     global $wpdb;   
259.     //判断deprecated是否为空   
260.     if ( !emptyempty( $deprecated ) )   
261.         _deprecated_argument( __FUNCTION__, ’3.0′ );   
262.     //判断$user对象是否为空,为空是执行以下代码   
263.     if ( emptyempty($user) )   
264.     {   
265.         //在数据库中更新（或创建）用户   
266.         $user = wp_get_current_user();   
267.         //返回用户id   
268.         $user = $user->ID;   
269.     }   
270.     //返回的对象中含有用户相关信息，$user用户id   
271.     $user = get_userdata($user);   
272.   
273.     // $key 中不能有-   
274.     $key = str_replace(‘-’, ”, $option);   
275.   
276.     if ( isset( $user-> {$wpdb->prefix . $key} ) ) // Blog specific   
277.         $result = $user-> {$wpdb->prefix . $key};   
278.     elseif ( isset( $user-> {$key} ) ) // User specific and cross-blog   
279.     $result = $user-> {$key};   
280.     else  
281.         $result = false;   
282.     return apply_filters(“get_user_option_{$option}”, $result, $option, $user);   
283. }   
284.   
285. //验证用户使用用户名和密码。 wp-includes/user.php 行 73   
286. add_filter(‘authenticate’, ’wp_authenticate_username_password’, 20, 3);   
287.   
288. //对用户密码相对应的验证如执行对空用户名和密码的检查。 wp-includes/user.php 行 75   
289. // $user 用户对象 $username 用户名 $password 密码   
290. function wp_authenticate_username_password($user, $username, $password)   
291. {   
292.   
293.     //判断$用户对象是否存在，如果存在返回   
294.     if ( is_a($user, ’WP_User’) )   
295.     {   
296.         return $user;   
297.     }   
298.   
299.     //判断用户或密码为空执行   
300.     if ( emptyempty($username) || emptyempty($password) )   
301.     {   
302.         $error = new WP_Error();   
303.         //判断用户名为空   
304.         if ( emptyempty($username) )   
305.             $error->add(‘empty_username’, __(‘<strong>ERROR</strong>: The username field is emptyempty.’));   
306.         //判断密码为空   
307.         if ( emptyempty($password) )   
308.             $error->add(‘empty_password’, __(‘<strong>ERROR</strong>: The password field is emptyempty.’));   
309.   
310.         return $error;   
311.     }   
312.     $userdata = get_user_by(‘login’, $username);   
313.     //验证用户名是否正确，如果用户名不正确执行   
314.     if ( !$userdata )   
315.         return new WP_Error(‘invalid_username’, sprintf(__(‘<strong>ERROR</strong>: Invalid username. <a href=“%s” title=“Password Lost and Found”>Lost your password</a>?’), site_url(‘wp-login.php?action=lostpassword’, ’login’)));   
316.     //判断是不是多站点   
317.     if ( is_multisite() )   
318.     {   
319.         //spam= 1 时，提示 您的账户已被标记为垃圾账户。   
320.         if ( 1 == $userdata->spam)   
321.             return new WP_Error(‘invalid_username’, __(‘<strong>ERROR</strong>: Your account has been marked as a spammer.’));   
322.   
323.         //标识是不是垃圾博文   
324.         if ( !is_super_admin( $userdata->ID ) && isset($userdata->primary_blog) )   
325.         {   
326.             $details = get_blog_details( $userdata->primary_blog );   
327.             if ( is_object( $details ) && $details->spam == 1 )   
328.                 return new WP_Error(‘blog_suspended’, __(‘Site Suspended.’));   
329.         }   
330.     }   
331.   
332.     $userdata = apply_filters(‘wp_authenticate_user’, $userdata, $password);   
333.     if ( is_wp_error($userdata) )   
334.         return $userdata;   
335.     //验证密码是否正确，如果密码不正确执行   
336.     if ( !wp_check_password($password, $userdata->user_pass, $userdata->ID) )   
337.         return new WP_Error( ’incorrect_password’, sprintf( __( ’<strong>ERROR</strong>: The password you entered for the username <strong>%1$s</strong> is incorrect. <a href=“%2$s” title=“Password Lost and Found”>Lost your password</a>?’ ),   
338.                              $username, site_url( ’wp-login.php?action=lostpassword’, ’login’ ) ) );   
339.     //wp-includes/capabilities.php 创建WP_User类行363   
340.     //根据 用户id 实例化用户对象 并返回用户数据   
341.     $user = new WP_User($userdata->ID);   
342.   
343.     return $user;