WordPress Rest API 用户重置密码时要求输入旧密码的解决方案

最新推荐文章于 2023-04-11 22:29:39 发布
最新推荐文章于 2023-04-11 22:29:39 发布
阅读量435 收藏
点赞数
文章标签: restful 后端 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szwzjx/article/details/125326669
版权

WordPress Rest API默认情况下,重置密码与修改用户其他属性(如昵称等)一样,只要有权限便可操作。

但对于前后端分离的项目,重置密码时有必要让用户输入旧密码,提升安全性。

推荐使用钩子Hookrest_pre_insert_user,在执行更新用户密码前进行额外逻辑判断。

重置密码需要传入三个参数:旧密码(old_password)、新密码(password)和重复新密码(repeat_password)。其中,为避免麻烦,参数password名称必须保持不变,因为内核会用到,其他两个可自定义。

效果如图:

在这里插入图片描述

第一步:应用钩子

主要功能:

  • 验证旧密码正确
  • 验证新密码和重复新密码保持一致
  • 验证新密码与旧密码不一样
<?php

add_filter( 'rest_pre_insert_user', 'szwzjx_custom_rest_pre_insert_user', 10, 2 );

function szwzjx_custom_rest_pre_insert_user( $prepared_user, $request ) {
    // 目标用户ID
    $target_user_id = (int) $prepared_user->ID;

    // 如果参数用没有密码字段,直接返回正常流程
    if (!isset($prepared_user->user_pass) ) return $prepared_user;

    $user = get_user_by( 'id', $target_user_id );

    // 创建新用户,单独处理,通常是管理员操作,暂时直接通过,不做额外处理
    // 按需添加逻辑判断
    if (!$user) {
        if (current_user_can('manage_options')) {
            $prepared_user->user_pass = $request['password'];
            return $prepared_user; 
        } else {
            return new WP_Error(
                'no_access',
                __( '无权限!' ),
                array( 'status' => 400 )
            );
        }
    }

    $pwd_c =    $request['old_password'];  // 旧密码
    $pwd_v =    $request['repeat_password'];      // 重复新密码
    $password = $request['password'];          // 新密码

    if ($password !== $pwd_v) {
        return new WP_Error(
            'error args',
            __( '两次新密码不一致,请重新输入!' ),
            array( 'status' => 400 )
        );
    }

    global $wpdb;
    $user_data = $wpdb->get_row($wpdb->prepare(
        "SELECT user_pass FROM $wpdb->users WHERE ID=%d", $target_user_id));
    $user_pass = $user_data->user_pass;
    $check = wp_check_password($pwd_c, $user_pass, $target_user_id);

    // 验证旧密码
    if (!$check) {
        return new WP_Error(
            'error args',
            __( '旧密码不正确,请重新输入!' ),
            array( 'status' => 400 )
        );
    }

    $check = wp_check_password($password, $user_pass, $target_user_id);

    if ($check) {
        return new WP_Error(
            'error args',
            __( '新密码不能与旧密码相同,请重新输入!' ),
            array( 'status' => 400 )
        );
    }

    // 全部通过,返回正常流程
    $prepared_user->user_pass = $password;
    return $prepared_user;
}

第二步:拓展主流程

在内核主流程中插入错误验证判断,文件位置:
/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php

一共有两处:

<?php
		$user = $this->prepare_item_for_database( $request );

		if ( is_wp_error( $user ) ) {
			return $user;
		}

此文件也是钩子rest_pre_insert_user实际应用的地方。

	protected function prepare_item_for_database( $request ) {
		$prepared_user = new stdClass;
		// ....
		return apply_filters( 'rest_pre_insert_user', $prepared_user, $request );
	}

前端调用接口示例:

import axios from 'axios';
import Session from './session';

// 重置自己密码
const reset_password = () => {
	const option = {
		old_password: '123456', // 当前密码
		password: 'hello', // 新密码
		repeat_password: 'hello' // 重复新密码
	};
	const sessionKey = Session.get();
	const headers = { 'Authorization': 'Bearer' + sessionKey };
	const reqUrl = 'wp-json/wp/v2/users/me';
	return axios.post(reqUrl, option, { headers });
}

:对WordPress内核有微调,请谨慎参考。

PurySun
关注
Wordpress模板主题中functions.php常用功能代码与常用插件[ 后台篇](持续收集整理)
程序人生
11-29 2167
Wordpress建站的初学者一定会需要用到的Wordpress模板主题中functions.php常用功能代码与常用插件。Wordpress自定义字段的设定与调用代码例如:wordpress分类页,文章页,单页,常规自定义字段等。
WordPress性能优化插件已激活版-Perfmatters-v1.6.8+使用教程
程序员教程吧
03-30 713
Perfmatters是一个非常轻量级的WordPress性能优化插件。该插件的主要目的是减少页面大小和HTTP请求数量。它允许您禁用许多不需要的功能,例如表情符号,XML-RPC,RSD链接,短链接,RSS提要以及许多其他功能,以加快网站速度。它不是缓存插件,但提供了缓存插件不提供的那些功能。Perfmatters与任何其他缓存插件都没有冲突。您可以同使用Perfmatters和其他任何缓存插件,以提高加载速度。Perfmatters插件的实际大小也非常小,介于150KB至160KB之间。因此,此插件不
Wordpress教程(一) Rest Api简单入门
最新发布
yang45310的专栏
04-11 3708
是当今最强大的博客+cms系统,最近在用wordpress给客户搭建一款小程序,涉及到Rest Api,于是有了本篇,本篇根据官方文档和个人的理解编写,如有错误或者疏漏,请同学指正。
wordpress rest api 登录_从零开始搭建 WordPress小程序详细图文教程
weixin_39731782的博客
11-20 1009
WordPress小程序以微信为基础,做到即点即用,不用了也不占手机空间,是现在很流行的 wordpress接入微信小程序的办法。老魏分享从购买服务器开始到小程序上线的完整过程,涉及较多基础知识及操作,希望大家耐心看完,都能快速搭建起自己的wordpress小程序。搭建 wordpress小程序准备工作1、服务器选择推荐选择阿里云服务器或腾讯云服务器。小程序无法用虚拟主机部署。不要买有...
WordPress Rest API 最细接口详解
热门推荐
chenzimin_blog
05-05 1万+
目录0、前言1、登录注册模块1.1、用户注册 *1.2、获取Token1.3、验证Token1.4、账户登录 *1.5、获取用户信息1.6、修改用户信息1.7、获取所有的用户信息1.8、获取指定用户ID的用户信息2、页面2.1、获取所有的页面信息2.2、获取指定页面ID的页面信息3、文章的分类和标签3.1、获取文章分类数组3.2、获取指定分类ID的分类信息3.3、获取文章的所有标签3.4、获取指定...
如何获取Akismet / WordPress API密钥?
一名可爱的技术搬运工
05-19 713
作为博客,我们经常会收到很多垃圾评论。 Akismet在垃圾邮件控制和过滤器方面提供了非常强大的服务。 为了激活Akismet插件,我们需要一个WordPress.com API密钥。 Akismet快要准备好了。 您必须输入WordPress.com API密钥才能使其正常工作。 我们如何获得WordPress API密钥以激活Akismet? 1)请wordpress....
MySQL安装需要输入密码问题
Ngai的博客
04-12 2117
MySQL卸了重装,配置过程中让我输入现在正在使用的密码密码),execute的候就卡在了最后一步。 我明明记得密码,没有输错啊。 错误信息说如果要求有以前的密码就跳过配置,remove掉再次重装。 然而我已经是在重装了…非常令人抓狂 一开始找解决办法没找对,改了几次密码,发现完全没有用。 最后想到还有注册表这种东西,又查了一下,有人说还有把MySQL的data文件夹删了,我就把注册表信息和...
headless-forms
03-13
"headless-forms"项目似乎是一个针对这种架构的表单处理解决方案的示例。下面将详细介绍这个项目的背景、核心概念以及如何进行设置和运行。 首先,让我们理解什么是无头WordPress。传统的WordPress系统包含前端...
Web渗透测试-实战 方法 思路 总结
m0_55595611的博客
02-21 9437
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
雪峰磁针石博客]渗透测试简介2入侵工具
BRAVE MAN的博客
11-18 277
本书目录 入侵工具 黑客工具是计算机程序和脚本,可帮助您查找和利用计算机系统,Web应用程序,服务器和网络中的弱点。 在此列表中,我们重点介绍了Web应用程序,服务器和网络的道德黑客攻击的前20个工具 Netsparker 图片.png Netsparker是一款易于使用的Web应用程序安全扫描程序,可以自动查找Web应用程序和Web服务中的SQL注入,XSS和其他漏洞。它可作为内部部...
DFOXA-WordPressAPI:WordPress API 扩展插件,允许使用 WordPres 开发标准的API接口,为基于 WordPress 的前后端分离项目实现便捷轻快的后端开发体验
05-13
DFOXA-WordPressAPI WordPress API 扩展插件,允许使用 WordPres 开发标准的API接口,为基于 WordPress 的前后端分离项目实现便捷轻快的后端开发体验. 接口文档会在 1-3个月内完善,英文文档会在中文文档完善后的1个月内发布,插件用户请按照组内教程或组内提问.不要提交 issues Interface documents will be improved within 1-3 months, the English document will be released within 1 month after the improvement of the Chinese document and plug-in users could ask questions in the group. 了解 DFOXA-WordPressAPI DFOX
2021最新LNMP => WordPress分离式部署(实战案例)
weixin_56903457的博客
09-07 1233
架构解析 Yum安装nginx 配置nginx连接php处理动态请求 安装mariadb数据库 php服务器参数配置 服务上传与部署、上线 WordPress分离式部署(实战案例) 简介: WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设自己的网志 环境:Nginx+MySQL服务器 => 192.168.178.6 PHP服务器 => 192.168.178.7 Nginx+MyS...
wordpress前后台域名分离
php小松
11-16 3859
因为小松博客www.phpsong.com使用了360 cdn,后台在登陆的候老是登陆不上去,还以为是程序问题,没有想到是360 cdn的问题,估计是缓存了 今天想包后台换成另一个域名,这个域名不通过cdn这样就不会有问题了 下面开始操作 ①申请域名 我这里的域名假设为admin.phpsong.com,指向并绑定到服务器,不懂请查看我的博客其他文章 ②配置后台域名 在后台【设置】-》【常规】【
Docker 搭建wordpress 环境 -- 前后端分离
yamaxitas的专栏
12-26 1639
如何使用docker 运行wordpress
“一把梭:REST API 全用 POST”
过客2019
02-22 1777
写这篇文章的原因主要还是因为V2EX上的这个贴子,这个贴子中说—— “对接同事的接口,他定义的所有接口都是 post 请求,理由是 https 用 post 更安全,之前习惯使用 restful api ,如果说 https 只有 post 请求是安全的话?那为啥还需要 get 、put 、delete ?我该如何反驳他。” 然后该贴中大量的回复大概有这么几种论调,1)POST挺好的,就应该这么干,沟通少,2)一把梭,早点干完早点回家,3)吵赢了又怎么样?工作而已,优雅不能当饭吃。虽然评论没有一边倒
JAVA界面通过数据库修改密码_Java中修改密码输入密码要与数据库中的密码一致...
weixin_34245159的博客
02-24 1649
1.首先在jsp文件中搭建好界面2.引入jquery中的文件,并且在jsp文件中写入jquery的路径和文本框的设置密码placeholder="请填写当前密码"> style="color: #F00; margin-top: 5px;">* 3.在jsp文件中写入ajax的代码//使用ajax来判断密码与数据库中的密码是否一致$(function(){//先写一个鼠标移开的事...
WP Rest API 入门详解
12-18 1万+
转发地址: http://www.thatyou.cn/wp-rest-api-%E5%85%A5%E9%97%A8%E8%AF%A6%E8%A7%A3/ 一、关于WP REST API wordpress已经不仅仅是一个博客网站程序,而是一个强大的CMS系统。开源、完善的社区、丰富的接口等等优势正将wordpress推向更高更广泛的领域。 WP REST API 是wordpres
php自行修改用户密码代码,php+mysq 修改用户密码(用password加密)
weixin_42389770的博客
03-20 803
\nsession_start();?>\nfunction checkinput(form){if(document.mod_pwd.curr_pwd.value==”"){alert(“請輸入原始密碼!”);document.mod_pwd.curr_pwd.select();return(false);}if(document.mod_pwd.new_pwd.value==”"){al...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值