WordPress如何进行会话管理

好的，请看：

1. 咱们来唠唠WordPress咋管会话这事儿。会话是啥？说白了就是你打开浏览器，从登录到退出这一趟儿，服务器得记住你是谁你干了啥，对吧？WordPress自己有个地儿，叫$_SESSION，但它基本不用这个。为啥？因为它觉得自个儿是块砖，哪儿需要往哪儿搬，用$_SESSION容易跟别的砖打架。所以它搞了套自己的，核心是Cookie和数据库。

2. 你一登录，WordPress就对你喊：“喂，给你个通行证！” 这通行证就是俩Cookie。一个叫wordpress_logged_in_打头的，写着你是哪位、密码的摘要（叫hash）和过期时间。另一个是wordpress_sec_打头的，搞安全用的。这俩Cookie就是你在这网站的临时身份证。

3. 光有身份证不行啊，得验明正身。每次你点个链接发个评论，WordPress就把这Cookie里的信息掏出来，跟数据库里存的比对。比对啥？主要是用户ID和登录状态的hash。这hash不是密码，是专门为这次登录生成的一串乱码，存在数据库的wp_usermeta表里。代码咋弄？它内部大概这样验：

$user_id = wp_validate_auth_cookie($cookie, 'logged_in');
if ($user_id) {
    // 哟，是老朋友，快请进
    wp_set_current_user($user_id);
} else {
    // 不认识，一边凉快去
}

4. 但你得想想，万一谁手贱偷了你这Cookie咋整？所以WordPress会隔段时间就让你的登录状态过期。默认是两天不活动就失效，或者你关浏览器就没（这取决于你登录时勾没勾“记住我”）。过期了咋办？重登呗。这机制叫非持久会话，安全。

5. 有时候你想自己搞点会话数据，比如存个用户临时看的商品ID。WordPress没直接开$_SESSION，但你可以自己开呀！在你主题的functions.php或者插件里加：

add_action('init', 'my_start_session', 1);
function my_start_session() {
    if (!session_id()) {
        session_start();
    }
}

这样就能用$_SESSION['my_product'] = 123;存东西了。但注意啊，别瞎存大的，拖慢速度。

6. 会话数据放哪儿？默认在服务器硬盘上，路径是/tmp。但如果你网站流量大，可以考虑存内存里，比如用Memcached或Redis。WordPress支持对象缓存，你得装个插件像“Redis Object Cache”这种，然后改wp-config.php：

define('WP_REDIS_HOST', '127.0.0.1');
define('WP_REDIS_PORT', 6379);

这样会话数据就飞内存里了，快得跟闪电似的。

7. 最后唠唠安全。WordPress会给Cookie加HttpOnly和Secure标志（如果你用了SSL），这样坏蛋的JavaScript摸不到你的Cookie，而且只在HTTPS上传输。另外，每次你重新登录，它会生成新的hash，旧的立马作废，这叫防止会话固定攻击。

总之嘞，WordPress的会话管理是低调但靠谱的，主要靠Cookie和数据库勾搭，兼顾速度和安全。你要捣鼓的话，记得顺着它的性子来，别乱改核心，尽量用它的函数像wp_set_auth_cookie和wp_clear_auth_cookie来操作会话，省得扯出啥幺蛾子。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。