为 WordPress 添加支持无密码登录认证

By | 2022年11月21日

0.什么是无密码登录

今年早些时候,苹果联合微软和谷歌发布声明,将扩大对 FIDO 标准的支持,加速推广无密码登录。所谓无密码登录,就是采用生物识别、USB 硬件密钥等方式来替代密码进行网络认证。听起来还是摸不着头脑?其实你很可能每天都在用。举例来说,各种手机 APP 使用的指纹验证登录方式,就属于无密码登录。

如果更进一步细分的话,FIDO1.0 标准包含 UAF 和 U2F 两个小类。UAF 即我们上面所提到的无密码登录,用额外的认证手段来代替密码。而 U2F 则是在密码验证的基础上,再增加一重验证。例如各种网站所推出的两步验证功能,在用户输入账号密码后,还需要再验证一个动态密码。

1.无密码登录安全吗

由于无密码登录使用的是非对称加密,在登录过程中服务器和客户端并不交换真正的密钥,所以也就不再有密码泄露的风险。除此之外,USB 硬件密钥在认证时通常会要求输入 PIN 以确保用户本人确认。而指纹和人脸识别等生物识别技术本身也能够确保用户本人的授意操作,进一步降低了认证器丢失后的风险。

要为 WordPress 启用无密码登录支持,需要桌面端带有生物识别硬件(如指纹,Windows Hello 人脸识别等)或 USB 硬件密钥(如10美元的 Yubikey),或者使用带有生物识别硬件的移动设备。

2. PHP 环境准备

在为 WordPress 添加支持无密码登录之前,首先需要额外安装一些 PHP 扩展,如 gmp 和 sodium 。下面以 lnmp 环境为例进行说明:

2.1 GMP 扩展

lnmp 在编译完成后源码已删除,需要重新解压:

apt install libgmp-dev
cd ~/lnmp1.9/src/ #按照你自己的路径
tar -xvf php-8.1.5 #按照你的服务器上所安装的 PHP 版本
cd php-8.1.5/ext/gmp
/usr/local/php/bin/phpize
./configure --with-php-config=/usr/local/php/bin/php-config
#确认无报错后执行:
make && make install

2.2 sodium 扩展

apt install libsodium-dev
cd ~/lnmp1.9/src/php-8.1.5/ext/sodium
/usr/local/php/bin/phpize
./configure --with-php-config=/usr/local/php/bin/php-config
#确认无报错后执行:
make && make install

2.3 修改 php.ini

nano /usr/local/php/etc/php.ini
#在 extension_dir 行下面添加以下两行:
extension = gmp
extension = sodium
#保存后重启 php
lnmp php-fpm restart

3.安装扩展

环境装好后我们就可以安装扩展启用无密码登录了,在 WordPress 后台搜索并安装 WP-WebAuthn 即可。

在:设置 – WP-WebAuthn 页面可以对扩展进行详细设置,例如 WebAuthn 优先或是仅限 WebAuthn 。如果设置了仅限 WebAuthn 在绑定认证器前切勿退出登录。

设置完成后可以在:用户 – 个人资料 页面的底部进行认证器的绑定和测试。对于桌面平台可以添加人脸识别、指纹,USB 硬件密钥等,移动端则可以使用自带的各种生物识别如指纹、红魔、面容等。

4.登陆测试

PC 端使用 Yubikey 如图所示:

IOS 端使用 Safari 如图所示:

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

滑动到最右以进行验证 *