![](/img/trans.png)
[英]WordPress password reset in custom login page getting errors=invalidkey error
[英]errors=invalidkey for a WordPress Custom Password recovery page
WordPress v5.4.1,我有以下代码从自定义页面发送密码重置邮件。
// Custom message
function replace_retrieve_password_message($message, $key, $user_login, $user_data) {
global $wpdb;
$key = $wpdb->get_var("SELECT user_activation_key FROM $wpdb->users WHERE user_login ='" . $user_login . "'");
if (empty($key)) {
//generate reset key
$key = wp_generate_password(20, false);
$wpdb->update($wpdb->users, array('user_activation_key' => $key), array('user_login' => $user_login));
}
// Create new message
$msg = __('Hello!') . "\r\n\r\n";
$msg .= sprintf(__('You asked us to reset your password for your account using the email address %s.'), $user_login) . "\r\n\r\n";
$msg .= __("If this was a mistake, or you didn't ask for a password reset, just ignore this email and nothing will happen.") . "\r\n\r\n";
$msg .= __('To reset your password, visit the following address:') . "\r\n\r\n";
$msg .= site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . "\r\n\r\n";
$msg .= __('Thanks!') . "\r\n";
return $msg;
}
add_filter('retrieve_password_message', 'replace_retrieve_password_message', 10, 4);
用户正在获取密码重置 email 并在单击链接时给出errors=invalidkey
。
我尝试删除自定义$key
function 以生成 WordPress 默认密钥。 然后我将有密码重置页面,但任何操作都显示errors=invalidkey
。
你为什么要重新生成$key
? 为什么不只使用传递给您的回调的那个?
但是如果你必须重新生成它,那么你可以只使用get_password_reset_key()
:
$key = get_password_reset_key( $user_data );
您的invalidkey
错误的原因是您只是在创建随机密码并按原样使用它。 要使其成为有效的重置密钥,需要对其进行哈希处理。
参考: https://core.trac.wordpress.org/browser/tags/5.4/src/wp-includes/user.php#L2316
因此,如果您想使用您的方法,您只需要像这样 hash 您的密钥,
// Custom message
function replace_retrieve_password_message($message, $key, $user_login, $user_data) {
global $wpdb;
global $wp_hasher;
$key = $wpdb->get_var("SELECT user_activation_key FROM $wpdb->users WHERE user_login ='" . $user_login . "'");
if (empty($key)) {
//generate reset key
$key = wp_generate_password(20, false);
if ( empty( $wp_hasher ) ) {
require_once ABSPATH . WPINC . '/class-phpass.php';
$wp_hasher = new PasswordHash( 8, true );
}
$key = time() . ':' . $wp_hasher->HashPassword( $key );
$wpdb->update($wpdb->users, array('user_activation_key' => $key), array('user_login' => $user_login));
}
// Create new message
$msg = __('Hello!') . "\r\n\r\n";
$msg .= sprintf(__('You asked us to reset your password for your account using the email address %s.'), $user_login) . "\r\n\r\n";
$msg .= __("If this was a mistake, or you didn't ask for a password reset, just ignore this email and nothing will happen.") . "\r\n\r\n";
$msg .= __('To reset your password, visit the following address:') . "\r\n\r\n";
$msg .= site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . "\r\n\r\n";
$msg .= __('Thanks!') . "\r\n";
return $msg;
}
add_filter('retrieve_password_message', 'replace_retrieve_password_message', 10, 4);
但我写这个只是为了让你理解这个问题。 我不推荐它。
推荐方法:
正如另一个答案也表明正确的方法是跳过您手动执行的所有密钥创建并为此使用正确的 function 即get_password_reset_key()
,因此您使用这种方法的代码看起来像,
// Custom message
function replace_retrieve_password_message($message, $key, $user_login, $user_data) {
$key = get_password_reset_key( $user_data );
// Create new message
$msg = __('Hello!') . "\r\n\r\n";
$msg .= sprintf(__('You asked us to reset your password for your account using the email address %s.'), $user_login) . "\r\n\r\n";
$msg .= __("If this was a mistake, or you didn't ask for a password reset, just ignore this email and nothing will happen.") . "\r\n\r\n";
$msg .= __('To reset your password, visit the following address:') . "\r\n\r\n";
$msg .= site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . "\r\n\r\n";
$msg .= __('Thanks!') . "\r\n";
return $msg;
}
add_filter('retrieve_password_message', 'replace_retrieve_password_message', 10, 4);
如您所见,它更清洁。 最好在可用且适用的情况下使用现有功能。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.