您希望在 WordPress 中实现刷新令牌（Refresh Token）和访问令牌（Access Token）并存的 JWT 认证系统。这是一种常见的认证模式，可以提高安全性并改善用户体验。下面我将详细介绍如何在 WordPress 中实现这种机制。 刷新令牌和访问令牌的基本概念 在实现之前，让我们先了解这两种令牌的区别： 访问令牌（Access…

您希望在用户通过默认的 WordPress 登录表单登录后，生成一个包含 JWT（JSON Web Token）的 HTTP-only cookie。这是一种增强 WordPress 安全性的好方法，因为 HTTP-only cookie 不能被 JavaScript 访问，可以防止 XSS 攻击窃取认证信息。 要实现这个功能，您需要： 在用户成功…

WordPress 允许开发者自定义登录验证过程。在 WordPress 核心中，有几种方法可以实现自定义登录验证： 1. 使用 wp_authenticate_user 过滤器 这是最常用的方法之一，它允许你在 WordPress 验证用户凭据后但在完成登录过程前修改或拒绝登录尝试： add_filter('wp_authenticat…

Sandeep Kumar Mishra in WordPress Hooks March 3, 2023 5 minutes read authenticate filter The authenticate hook is used for implementing a customized authentication method, all…

· When developing a traditional, monolithic WordPress site, you typically don’t give authentication a second thought. WordPress already provides a native cookie-based authenti…

You've implemented JWT authentication for your application, storing tokens in local storage because it seemed convenient. But now you're seeing alarming posts about XSS vulner…

┌────────────────────────────────────────────────────┐ │ 0. WordPress 核心加载 │ │ └── 加载 wp-settings.php │ │ │ │ 1. 插件加载阶段 │ │ ├── muplugins_loaded │ │ ├── 加载 Must-Use Plugins │ …

/wp-json/wp/v2/users 和 /wp-json/wp/v2/users/me 都需要登录验证后才能访问，/wp-json/wp/v2/users 正常，但是 /wp-json/wp/v2/users/me 不正常，User ID 为 0，但是通过以下代码又是能拿到 ID 的。 add_filter('rest_authen…

2004 年，我离开了企业界，开始了一个名为 Digital Inspiration 的技术和作博客。我已经写博客 10 多年了，这些年来很多事情都发生了变化。 那时，博客很少，没有 Twitter 或 Facebook，人们订阅博客的唯一方式是通过 RSS 或电子邮件通讯。博主维护 Blogrolls 并慷慨地链接到其他博客。Google 搜索结…

Slider Revolution Responsive WordPress Plugin WP Rocket Yoast SEO Classic Editor 开发时插件 Query Monitor