check_password_reset_key() │ WP 3.1.0
Проверяет (сравнивает) переданный ключ для восстановления пароля с хэшем этого ключа в БД.
Хэш ключа создается функцией get_password_reset_key() во время запроса восстановления пароля и хранится в БД, в таблице, wp_users в поле user_activation_key .
Сохраненный в БД ключ годен один день (сутки) с момента его создания.
Возвращает
WP_User|WP_Error.
Объект WP_User если указанный ключ прошел проверку (равен хэшу).
Объект WP_Error если ключ не равен хэшу или просрочен.
Использование
check_password_reset_key( $key, $login );
$key(строка) (обязательный)
Ключ для сравнения с хэшем. Этот ключ обычно отправляется на почту в виде ссылки.
$login(строка) (обязательный)
Логин пользователя, хэш ключа которого нужно получить из БД и сравнить со значением $key .
Примеры
#1 Пример создания и проверки ключа для восстановления пароля
// создадим ключ для юзера 1 с логином siesta
$user = get_userdata( 1 );
$key = get_password_reset_key( $user ); // ZedUm9FEt48Kp4aGb5i8
// проверим созданный ключ
$is_ok = check_password_reset_key( $key, 'siesta' );
if( is_wp_error($is_ok) ){
echo $is_ok->get_error_message();
}
else {
echo 'Ключ прошел проверку. Можно высылать новый пароль на почту.';
}
Добавить свой пример
Заметки
Global. PasswordHash. $wp_hasher Portable PHP password hashing framework instance.
Код check_password_reset_key() check password reset key
WP 6.7.2
function check_password_reset_key( $key, $login ) {
global $wp_hasher;
$key = preg_replace( '/[^a-z0-9]/i', '', $key );
if ( empty( $key ) || ! is_string( $key ) ) {
return new WP_Error( 'invalid_key', __( 'Invalid key.' ) );
}
if ( empty( $login ) || ! is_string( $login ) ) {
return new WP_Error( 'invalid_key', __( 'Invalid key.' ) );
}
$user = get_user_by( 'login', $login );
if ( ! $user ) {
return new WP_Error( 'invalid_key', __( 'Invalid key.' ) );
}
if ( empty( $wp_hasher ) ) {
require_once ABSPATH . WPINC . '/class-phpass.php';
$wp_hasher = new PasswordHash( 8, true );
}
/**
* Filters the expiration time of password reset keys.
*
* @since 4.3.0
*
* @param int $expiration The expiration time in seconds.
*/
$expiration_duration = apply_filters( 'password_reset_expiration', DAY_IN_SECONDS );
if ( str_contains( $user->user_activation_key, ':' ) ) {
list( $pass_request_time, $pass_key ) = explode( ':', $user->user_activation_key, 2 );
$expiration_time = $pass_request_time + $expiration_duration;
} else {
$pass_key = $user->user_activation_key;
$expiration_time = false;
}
if ( ! $pass_key ) {
return new WP_Error( 'invalid_key', __( 'Invalid key.' ) );
}
$hash_is_correct = $wp_hasher->CheckPassword( $key, $pass_key );
if ( $hash_is_correct && $expiration_time && time() < $expiration_time ) {
return $user;
} elseif ( $hash_is_correct && $expiration_time ) {
// Key has an expiration time that's passed.
return new WP_Error( 'expired_key', __( 'Invalid key.' ) );
}
if ( hash_equals( $user->user_activation_key, $key ) || ( $hash_is_correct && ! $expiration_time ) ) {
$return = new WP_Error( 'expired_key', __( 'Invalid key.' ) );
$user_id = $user->ID;
/**
* Filters the return value of check_password_reset_key() when an
* old-style key is used.
*
* @since 3.7.0 Previously plain-text keys were stored in the database.
* @since 4.3.0 Previously key hashes were stored without an expiration time.
*
* @param WP_Error $return A WP_Error object denoting an expired key.
* Return a WP_User object to validate the key.
* @param int $user_id The matched user ID.
*/
return apply_filters( 'password_reset_key_expired', $return, $user_id );
}
return new WP_Error( 'invalid_key', __( 'Invalid key.' ) );
}