wordpress でのパスワード管理について奇妙な質問があります。
私がやりたいこと:ユーザーが選択した場合、サーバー上の別のアプリに登録するオプションがある wordpress サイトがあります。各ユーザーには、wordpress プロトコルを使用して保存された独自のユーザー名とパスワードがあります。アプリには独自のユーザー名/パスワードも必要であり、SOAP 経由で設定できます。各ユーザーがワードプレスのユーザー名とパスワードを使用してアプリにログインできるようにしたいと考えています。
私が混乱しているところ:ユーザー名の取得は単純なデータベースクエリであるため、問題はありません。ただし、wordpress はデータベース内のパスワードを適切に暗号化します。データベースからパスワードを自動的に取得し、それをアプリに渡して、ユーザーが登録するたびにアカウントを作成する安全な方法を探しています。
どんなアイデアでも大歓迎です。
既存の Wordpress ユーザーのパスワードを取得することはありません。これらはハッシュされ、暗号化されず、ハッシュは (一般的に) 設計上元に戻せません。
OAuthなど、Wordpress サイトと別のアプリケーションの両方に共通の認証メカニズムを実装することをお勧めします。これは、WordPress のパスワード ストレージの組み込み機能をハッキングするよりも優れているはずです。柔軟性が大幅に向上し、Wordpress の機密データにアクセスする必要がなくなり、実装に依存することもなくなるからです (パスワードの保存メカニズムは変更される傾向があります)。
通常、パスワードは MySQL データベース内にハッシュ形式で保存されます。セカンダリ アプリケーションがそれらを WordPress と同じ形式で保存するかどうかを判断する必要があります。バージョン 3.6 の時点で、「 phpass 」と呼ばれるサードパーティ ライブラリに基づく内部ハッシュ メカニズムを使用します。
つまり、セカンダリ アプリが既に phpass を使用している場合、または phpass を使用するように変更できる場合は、必要なデータベース レコードをセカンダリ アプリ内に作成し、WordPress で生成されたパスワード ハッシュを直接コピーすることができます。
アプリが phpass で生成されたハッシュを使用しない場合は、使い慣れたパスワード ハッシュを使用して他のアプリの DB を "カーボン コピー" する WordPress プラグインの作成を検討することができます。パスワードをクリアテキスト形式で記録しないように注意してください。
このセカンダリ アプリケーションが別のパスワード保護方法を使用している場合、パスワードを再ハッシュまたは暗号化するためにパスワードをリバース エンジニアリングすることは (通常の方法では) できません (自分自身の保護のために試みることもできません)。
このすべての情報を念頭に置いて、私は個人的に外部認証モデル/Facebook、Google などの資格情報ストアを使用して探索します。おそらくOpenID認証パラダイムを使用します。