檢索WordPress的用戶名/密碼通過PHP注冊單獨的帳戶

Question

我對wordpress下的密碼管理有一個奇怪的問題。

我想做什么：我有一個wordpress網站，用戶可以選擇在其中注冊服務器上單獨的應用程序。 每個用戶都有自己的用戶名和密碼，使用wordpress協議保存； 該應用程序還需要自己的用戶名/密碼，並可以通過SOAP進行設置。 我想允許每個用戶使用其wordpress用戶名和密碼登錄應用程序。

我感到困惑的地方：檢索用戶名是一個簡單的數據庫查詢，因此沒有問題。 但是，wordpress會正確加密數據庫中的密碼。 我正在尋找一種安全的方法來自動從數據庫中檢索密碼，並在用戶注冊時將其傳遞給應用程序以創建一個帳戶。

任何想法，將不勝感激。

Answer 1

您將不會檢索現有的Wordpress用戶密碼。 這些是散列的，而不是加密的，並且散列在設計上通常是不可逆的。

我建議為Wordpress網站和您的單獨應用程序（例如OAuth）實現通用授權機制。 這應該比破解WordPress密碼存儲的內在特性更好，因為您可以獲得更多的靈活性，不需要訪問Wordpress的敏感數據，也不必依賴於實現（密碼存儲機制會發生變化）

Answer 2

通常，密碼以散列形式存儲在MySQL數據庫中。 您將需要確定您的輔助應用程序是否以與WordPress相同的格式存儲它們。 從3.6版開始，它使用基於稱為“ phpass ”的第三方庫的內部哈希機制 。

就是說，如果您的輔助應用程序已經使用了phpass或可以被修改為使用phpass，則可以在輔助應用程序內簡單地創建必需的數據庫記錄，並將WordPress生成的密碼哈希直接復制到其中。

如果該應用程序不使用phpass生成的哈希，則可以嘗試編寫一個WordPress插件，以使用熟悉的密碼哈希值“抄襲”另一個應用程序的數據庫。 請注意不要以任何方式以明文形式記錄密碼。

如果此輔助應用程序使用其他密碼保護方法，則您將（通常也不能）（也不應嘗試，為了保護自己）反向工程密碼以重新哈希或以其他方式加密。

考慮到所有這些信息-我將親自使用外部身份驗證模型/憑據存儲（例如Facebook，Google等）進行探索-最有可能使用OpenID身份驗證范式。