web-dev-qa-db-ja.com

二重認証でページを保護する方法:パスワードと電子メール(カスタムフィールド)

ユーザーのメールアドレスに追加の入力フィールドを追加することで、WordPressによる投稿の保護を強化したいと思います。

そのため、コンテンツを見るためには、保護された投稿のカスタムメタフィールドに保存されているパスワードと以前に与えられたメールアドレスを知る必要があります。

私はその余分なフィールドをチェックする良いフックを見つけようとしていましたが、何の成功もありませんでした。その作り方を教えてください。このような機能のためにユーザーアカウントを作成したくありません。

8
Abed

投稿をパスワードで保護するように設定した場合、その保護はget_the_content()関数で行われます。そこにWordPressはポストパスワードクッキーをチェックし、設定されていない場合、有効でないか期限切れではなく、パスワードフォームを表示します。

このパスワードフォームはwp-login.phpに送信され、そこでフォームに書かれたパスワードに従ってクッキーが設定され、その後リクエストは再び投稿にリダイレクトされます。

このプロセスは次のように説明できます。

  1. 投稿ページへ
  2. the_content()を呼び出す
  3. クッキーをチェックする
  4. 有効でない場合はパスワードフォームを表示します
  5. wp_login.phpにフォームを送信する
  6. wp_login.php
  7. 送信されたパスワードに基づいてCookieを設定し、投稿ページにリダイレクトする
  8. もう一度フォーム1を起動

私たちにできること

  • #4 フォームの出力を編集するためにフック'the_password_form'を使用し、 EメールのためのフィールドとポストIDを持つ隠しフィールド (この時点で我々はget_the_content関数の内側にいるのでグローバルポスト変数へのアクセス)
  • 不幸なことにポイント #3 そこではクッキーチェックの結果を変更することはできません(あるいは少なくとも我々は簡単で信頼できる方法ではできない)。しかし、 #7 WordPressには、Cookieの有効期限を設定できるフィルタフックがあります。その時刻を過去のタイムスタンプに設定すると、Cookieは設定されず(存在する場合は削除されます)。検証は失敗します。そのため、このフックを使用してフォームを介して送信された電子メールをチェックでき、隠しフィールドの投稿IDのおかげでメタの電子メールと比較することができます。

最初の一歩:

/**
 * Customize the form, adding a field for email and a hidden field with the post id
 */
add_filter( 'the_password_form', function( $output ) {

  unset( $GLOBALS['the_password_form'] );
  global $post;
  $submit = '<input type="submit" name="Submit" value="' . esc_attr__('Submit') . '" /></p>';
  $hidden = '<input type="hidden" name="email_res_postid" value="' . $post->ID . '">';
  $email = '</p><p><label for="email_res">' . __( 'Email:' );
  $email .= '<input name="email_res" id="email_res" type="text" size="20" /></label></p><p>';
  return str_replace( $submit, $hidden . $email . $submit, $output );

}, 0 );

そして第二:

/**
 * Set the post password cookie expire time based on the email
 */
add_filter( 'post_password_expires', function( $valid ) {

  $postid = filter_input( INPUT_POST, 'email_res_postid', FILTER_SANITIZE_NUMBER_INT );
  $email = filter_input( INPUT_POST, 'email_res', FILTER_SANITIZE_STRING );
  // a timestamp in the past
  $expired = time() - 10 * DAY_IN_SECONDS;
  if ( empty( $postid ) || ! is_numeric( $postid ) ) {
      // empty or bad post id, return past timestamp
      return $expired;
  }
  if ( empty($email) || ! filter_var($email, FILTER_VALIDATE_EMAIL) ) {
      // empty or bad email id, return past timestamp
      return $expired;
  }
  // get the allowed emails
  $allowed = array_filter( (array)get_post_meta( $postid, 'allow_email' ), function( $e ) {
    if ( filter_var( $e, FILTER_VALIDATE_EMAIL) ) return $e;
  });
  if ( ! empty( $allowed ) ) { // some emails are setted, let's check it
    // if the emails posted is good return the original expire time
    // otherwise  return past timestamp
    return in_array( $email, $allowed ) ? $valid : $expired;
  }
  // no emails are setted, return the original expire time
  return $valid;

}, 0 );

これで終わりです。

投稿を作成し、パスワード保護されたものとして保存し、キー'allow_email'を使用してカスタムフィールドに許可された電子メールを設定します。追加できるEメールの数に制限はありません...


設定:

Custom fields to allow email post protection


post protection via password


結果(追加のスタイルなしのTwentyThirteen):

Result in TwentyThirteen with no additional styling

7
gmazzap