Wordpressはセッションを使用しません。

ユーザーがページ間を移動するときに、WPがユーザー状態を維持するためにどのようなメカニズムを使用するのか、いつも疑問に思いましたか？

ベアCookieを使用し、クライアント側のログイン状態情報を保存します。

+

=

wordpress_7339a175323c25a8547b5a6d26c49afa = yourusername％7C1457109155％7C170f103ef3dc57cdb1835662d97c1e13;

これらすべてのクッキーと塩はどこから来るのですか？

ソルトはwp-config.phpファイルにあります：

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

一意のフレーズは暗号化ハッシュ関数で使用されます

認証Cookie。その名前はAUTH_COOKIE内に格納されます。これは、「wordpress_」と、default-constants.phpで設定されたsiteurlのmd5合計を連結することによって形成されます。これはデフォルトの動作であり、いくつかの定数を事前に設定することにより、構成ファイル内からオーバーライドできます。

認証Cookieは、ユーザー名の連結、認証Cookieが有効になるまでのタイムスタンプ、およびHMACです。これは、現在TL; DRをプルした人​​のためのキーバイアスハッシュの一種です。3つの変数はパイプ文字|で連結されます。

HMACの構成方法は次のとおりです。

$hash = hash_hmac('md5', $username . '|' . $expiration, wp_hash($username . substr($user->user_pass, 8, 4) . '|' . $expiration, $scheme));

これは安全ですか？

この回答のほとんどの情報がこの記事から得られたこの記事によると、ハッカーがあなたの一意のフレーズが何であるかを知っていれば、1秒間に30リクエストを送信するのに力ずくでかかり、キーが一意であると200,000,000,000,000,000,000,000,000,000,000倍困難になります。

Cookieは、セッションデータのクライアント側のストレージにすぎません... WordPress Cookie

実際、セッションなしでCookieを使用できますが、Cookieなしでセッションを使用することはできません。