워드 프레스는 세션을 사용하지 않습니다.

WP가 사용자가 페이지를 이동할 때 사용자 상태를 유지하기 위해 어떤 메커니즘을 사용하는지 항상 궁금했습니다.

베어 쿠키를 사용하고 로그인 상태 정보 클라이언트 측을 저장합니다.

+

=

wordpress_7339a175323c25a8547b5a6d26c49afa = 사용자 이름 % 7C1457109155 % 7C170f103ef3dc57cdb1835662d97c1e13;

이 쿠키와 소금은 어디에서 왔습니까?

소금은 wp-config.php 파일에 있습니다.

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

고유 문구는 암호화 해시 함수 에서 사용됩니다

이름이 AUTH_COOKIE 내에 저장되는 인증 쿠키는 default-constants.php에 설정된 siteurl의 md5 합계와 "wordpress_"를 연결하여 형성됩니다. 이것은 기본 동작이며 일부 상수를 미리 설정하여 구성 파일 내부에서 재정의 할 수 있습니다.

인증 쿠키는 사용자 이름, 인증 쿠키가 유효 할 때까지의 타임 스탬프, 그리고 TL; DR을 뽑은 사람들을위한 일종의 키 바이어스 해시 인 HMAC를 연결합니다. 세 개의 변수는 파이프 문자 |와 연결됩니다.

HMAC 구성 방법은 다음과 같습니다.

$hash = hash_hmac('md5', $username . '|' . $expiration, wp_hash($username . substr($user->user_pass, 8, 4) . '|' . $expiration, $scheme));

안전한가요?

이 답변의 대부분의 정보가 나온 이 기사 에 따르면 고유 한 문구가 무엇인지 알고 키가 고유하면 200,000,000,000,000,000,000,000,000,000,000 배 더 어려울 경우 초당 30 건의 요청을 보내는 데 약 1 주일 정도의 해킹이 필요합니다.

쿠키는 세션 데이터의 클라이언트 측 저장 장치입니다. WordPress Cookies

실제로, 세션없이 쿠키를 가질 수 있지만 쿠키없이 세션을 가질 수는 없습니다.