home iconAccueil / wordpress / Comment faire expirer un nonce?

Comment faire expirer un nonce?

    • vote up icon 6 vote down icon
    • translation icon
    • view icon6315 calendar icon2016-04-15

    Je suis conscient dufait quenouspouvonsmodifier la durée de vienonceen utilisant lefiltre,30 secondesici: 

     add_filter( 'nonce_life', function () { return 30; } );

    J'ai unefonction logout ()pourmon api de repos. Je souhaitefaireexpirer unnonce quej'ai créé après une connexion réussie: $nonce = wp_create_nonce( 'login'.$user_id );

    nonce
    • Lors de la connexionn'estpas lebonmot.Nonce sera après la connexion ou avant la connexion?
    • @Sumit,j'ai éditéma réponse,pouvez-vous s'il vousplaîtguidermaintenant?
    • Cool :) Donc,àmon humble avis,vousn'avezpas à vousen soucier.Parce qu'après la connexionnonce créée à l'aide de l'ID de l'utilisateur connectéet après la déconnexion,l'ID devient 0,la vérificationnonce retournera `false`.Si vous le souhaitez,vouspouvez letester!
    • @Sumitmerci,j'ai oublié lefait quej'utiliserai l'identifiant d'utilisateur.
    • yw!À votre santé.. ;)
    • @sumit vous avez raison,et vous devriezpublier desinformations dans votre commentaireen tant que réponse,afin que la questionpuisse êtremarquée comme répondue au lieu de rester sans réponse.
    • @gmazzap Je suis désolé d'être absentet maintenant Caspar a déjà répondu à cela :)

1  réponses

  • votes
    • accept answer icon
    • translation icon
    • calendar icon 2016-04-18

    Leproblème avec l'expiration d'unnonceest que dans WordPress,lesnoncesne sontpas desnonces dans le sens lepluspur duterme: "nombre utilisé unefois". Au contraire,un WPnonceest un hachage (sous-chaîne de a) d'une chaîneimpliquant une signature rythmique aumoment oùil a étégénéré,entre autres: l'ID utilisateur,lenom de l'actionet votrejeton de sessionphp. Entant quetel,unefoisgénéré,ilest ce qu'ilest,sa date depéremptionestintégréeet vousne pouvezpas l'expirer (et vousne pouvezpas laprolonger).

    Modifier:

    Vouspouvez voir comment lenonceest construit dans wp-includes/pluggable.php: 

     function wp_create_nonce($action = -1) {
    $user = wp_get_current_user();
    $uid = (int) $user->ID;
    if ( ! $uid ) {
        /** This filter is documented in wp-includes/pluggable.php */
        $uid = apply_filters( 'nonce_user_logged_out', $uid, $action );
    }

    $token = wp_get_session_token();
    $i = wp_nonce_tick();

    return substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, 10 );

    Lemêmeensemble de critèresest utilisé dans wp_verify_nonce():nonce_tick (quiest l'élémenttemporel),action,tokenet uid sonttous combinéset hachés dans lemême ordreet comparés à l'élément soumisnonce. Donc,si l'un d'entreeux a changé,les hachagesne correspondentpaset lenonceest rejeté.

    Fin de lamodification

    WP le valide uniquementen indiquant si une chaîne soumise correspond (via hash_equals() dephp) à une valeur attenduegénérée lorsque vouspassez la chaînenonce avec l'action. Si lenonceet l'action se combinent avec votre ID utilisateur actuelet votrejeton de sessionpour créer une sous-chaîne de hachage qui correspond au contrôle de hachagetemporel,vous réussissez.

    Ce quimanquepourfaire d'un WPnonce un "vrai"nonceest une vérificationpour voir s'il a déjà été utilisé/traité unefois auparavant.

    L'hypothèse de sécuritéest que celan'apas d'importance,carmême si quelqu'un récupère lenonceet son action correspondante,vous devreztoujours le soumettreen utilisant lemêmeidentifiant d'utilisateuret lemêmejeton de sessionphp sous lequelil a étégénéré - - hautementimprobable àmoins qu'unpiraten'ait détourné votre appareilet ne soit connectéen tant que vous ...mais d'ici là,vous avez un autretype deproblème de sécurité.

    • s'il vousplaît voir unpetit exemple dans votre réponse sur lafaçon dont unnoncepeut avoir unjeton de session,entre autrespour dissipermoninquiétude sur lafaçon degérer lepseudononce WPexpirant
    • Modifiépourinclure lafaçon dont lejetonestincorporé dansnonce.