wordpress - 我可以让我的 WordPress 随机数更快过期吗？ (通过 wp_verify_nonce)

Question

Wordpress 有一个随机数机制，插件可以将随机数发送到客户端代码中，然后在客户端与服务器通信时验证该随机数。

我查看了 wp_verify_nonce() 的源代码(在 wp-includes/pluggable.php 中)，发现如果随机数是 24 小时或更短时间，它会返回 true。

我是否可以创建一个可以验证为...比方说....1 分钟的随机数？

如何？

我认为有一种通过add_filter()和nonce_life的方法。但我不希望各地的随机数生命周期很短。我只希望我的插件使用的随机数生命周期较短。

Answer 1

我发现很少有关于 wordpress nonce 的文档。

虽然代码本身并不是很复杂，并且有一种方法可以简单地替换 wp_verify_nonce() 函数，但我相信在整个 wordpress 中很多地方都使用了 nonce，而且我不是相信我的替代品不会破坏其他东西。

由于这里或其他地方缺乏任何有用的建议，我放弃了让我的随机数更快过期的想法，只是添加了我自己的随机数/时间戳字段。

我正在编写的插件生成一个随机数，然后将其嵌入到脚本 block 中，然后将其呈现在网页中。当页面中的 Javascript 与 WordPress admin-ajax.php 通信时，它会发回随机数。然后，Wordpress 使用 wp_verify_nonce() 验证随机数，如果随机数尚未过期(如您希望的 12 小时或 24 小时)，则允许该请求。此检查还验证调用者的身份。

我所做的只是生成另一个随机数，一个加密的时间戳。它以与 WP nonce 相同的方式嵌入到 javascript 脚本 block 中。它以相同的方式重新传输，并以类似的方式验证:我解密并检查时间戳是否是“最近的”。
不同之处在于我的插件控制验证，因此我可以设置“新近度”的阈值。