分析 `wp_logout()` 函数的源码，它是如何清除登录 `Cookie` 和会话数据的？

各位听众，早上好！今天咱们来聊聊 WordPress 里一个看似简单，实则暗藏玄机的函数：wp_logout()。这哥们负责把用户踢出登录状态，干的事情就是清除掉那些证明用户身份的 “通行证” – Cookie 和会话数据。咱们深入源码，看看它到底是怎么操作的。

一、wp_logout() 函数的 “真面目”

首先，我们来看看 wp_logout() 函数的庐山真面目（以下代码基于 WordPress 最新版本，可能会因版本不同而略有差异）：

function wp_logout() {
    /**
     * Fires before the user is logged out.
     *
     * @since 2.5.0
     */
    do_action( 'wp_logout' );

    wp_clear_auth_cookie(); // 清除认证 Cookie
    wp_destroy_other_browsing_sessions(); // 销毁其他浏览会话（如果启用了）

    /**
     * Fires after the user is logged out.
     *
     * @since 2.5.0
     */
    do_action( 'wp_logout' );

    wp_safe_redirect( home_url() ); // 重定向到首页
    exit();
}

从代码里我们可以看到，wp_logout() 主要做了以下几件事：

1. do_action( 'wp_logout' ) (两次): 这货是 WordPress 的钩子机制，允许其他插件或主题在用户登出前后执行一些自定义操作，比如记录日志、清理缓存等等。 就像在剧院演出前后，允许其他演员上台表演助兴一样。
2. wp_clear_auth_cookie(): 这是清除认证 Cookie 的关键函数，咱们稍后重点分析。
3. wp_destroy_other_browsing_sessions(): 这个函数负责销毁用户在其他浏览器或设备上的登录会话。这个功能通常在启用了“记住我”功能，并且用户在多个地方登录时使用。 没启用就直接跳过了。
4. wp_safe_redirect( home_url() ): 将用户重定向到网站首页。
5. exit(): 终止脚本执行。

二、wp_clear_auth_cookie()：Cookie 清除大师

wp_clear_auth_cookie() 函数是清除认证 Cookie 的核心，让我们深入研究一下它的代码：

function wp_clear_auth_cookie() {
    /**
     * Fires before the authentication cookies are cleared.
     *
     * @since 2.8.0
     */
    do_action( 'clear_auth_cookie' );

    setcookie( AUTH_COOKIE,      ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,      COOKIE_DOMAIN, false, true  );
    setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,      COOKIE_DOMAIN, true,  true  );
    setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,      COOKIE_DOMAIN, false,  true  );

    if ( SITECOOKIEPATH != COOKIEPATH ) {
        setcookie( AUTH_COOKIE,      ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN, false, true  );
        setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN, true,  true  );
        setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN, false,  true  );
    }

    /**
     * Fires after the authentication cookies are cleared.
     *
     * @since 2.8.0
     */
    do_action( 'clear_auth_cookie' );
}

这个函数主要通过 setcookie() 函数来完成 Cookie 的清除工作。 让我们来分析一下：

1. do_action( 'clear_auth_cookie' ) (两次): 又是一个钩子，允许其他插件或主题在清除 Cookie 前后执行操作。
2. setcookie(): 这是 PHP 设置 Cookie 的函数。要删除一个 Cookie，我们通常将其值设置为空字符串，并将过期时间设置为过去的时间。
3. AUTH_COOKIE、SECURE_AUTH_COOKIE、LOGGED_IN_COOKIE: 这些是 WordPress 用于存储用户认证信息的 Cookie 名称。
   • AUTH_COOKIE: 用于非 HTTPS 连接的认证 Cookie。
   • SECURE_AUTH_COOKIE: 用于 HTTPS 连接的认证 Cookie。
   • LOGGED_IN_COOKIE: 用于“记住我”功能的 Cookie。
4. time() - YEAR_IN_SECONDS: 将 Cookie 的过期时间设置为一年前，强制浏览器立即删除 Cookie。 YEAR_IN_SECONDS 是一个常量，通常定义为 31536000 (一年的秒数)。
5. COOKIEPATH、COOKIE_DOMAIN: 这些是 Cookie 的路径和域名。确保使用正确的路径和域名才能删除对应的 Cookie。
   • COOKIEPATH: Cookie 的有效路径，通常是 WordPress 根目录。
   • COOKIE_DOMAIN: Cookie 的有效域名，通常是网站的域名。
6. false、true (secure 和 httponly): 这两个参数控制 Cookie 的安全属性。
   • secure: 如果设置为 true，则 Cookie 只能通过 HTTPS 连接发送。
   • httponly: 如果设置为 true，则 Cookie 只能通过 HTTP 协议访问，不能通过 JavaScript 访问，可以防止 XSS 攻击。
7. if ( SITECOOKIEPATH != COOKIEPATH ): 这个条件判断 SITECOOKIEPATH 和 COOKIEPATH 是否相同。 如果不同，则需要额外删除 SITECOOKIEPATH 路径下的 Cookie。 SITECOOKIEPATH 通常在 WordPress 多站点环境下使用。

关键点总结：

• wp_clear_auth_cookie() 通过 setcookie() 函数，将认证 Cookie 的值设置为空，并将过期时间设置为过去的时间，从而删除 Cookie。
• 它会删除三种类型的认证 Cookie：AUTH_COOKIE、SECURE_AUTH_COOKIE 和 LOGGED_IN_COOKIE。
• 它会同时删除 COOKIEPATH 和 SITECOOKIEPATH 路径下的 Cookie，以支持多站点环境。
• 它使用了 secure 和 httponly 属性来增强 Cookie 的安全性。

三、wp_destroy_other_browsing_sessions()：会话清理员

接下来，我们看看 wp_destroy_other_browsing_sessions() 函数，它负责清理用户的其他浏览会话：

function wp_destroy_other_browsing_sessions() {
    $user = wp_get_current_user();

    if ( ! $user || ! $user->ID ) {
        return;
    }

    $session_tokens = get_user_meta( $user->ID, 'session_tokens', true );

    if ( ! is_array( $session_tokens ) ) {
        return;
    }

    $manager = WP_Session_Tokens::get_instance( $user->ID );
    $manager->destroy_others();
}

这个函数的核心逻辑如下：

1. wp_get_current_user(): 获取当前登录用户的信息。
2. get_user_meta( $user->ID, 'session_tokens', true ): 从用户元数据中获取存储的会话令牌。 WordPress 使用 session_tokens 元数据来跟踪用户的登录会话。
3. WP_Session_Tokens::get_instance( $user->ID ): 获取 WP_Session_Tokens 类的实例。这个类负责管理用户的会话令牌。
4. $manager->destroy_others(): 调用 WP_Session_Tokens 类的 destroy_others() 方法，销毁用户的其他会话。

现在，我们深入 WP_Session_Tokens 类，看看 destroy_others() 方法是如何工作的：

    /**
     * Destroy all sessions other than the current session.
     *
     * @since 4.0.0
     */
    public function destroy_others() {
        $this->destroy_other_sessions( $this->token );
    }

destroy_others() 方法调用了 destroy_other_sessions() 方法，并将当前会话的令牌作为参数传递。

    /**
     * Destroy all sessions other than the session with the given token.
     *
     * @since 4.0.0
     *
     * @param string $token Session token to keep.
     */
    protected function destroy_other_sessions( $token ) {
        $sessions = $this->get_sessions();

        foreach ( $sessions as $session_token => $session ) {
            if ( $session_token === $token ) {
                continue;
            }

            $this->destroy( $session_token );
        }
    }

destroy_other_sessions() 方法的逻辑如下：

1. $this->get_sessions(): 获取用户的所有会话令牌。
2. foreach ( $sessions as $session_token => $session ): 遍历所有会话令牌。
3. if ( $session_token === $token ): 如果当前会话令牌与要保留的令牌相同，则跳过。
4. $this->destroy( $session_token ): 调用 destroy() 方法销毁其他会话。

最后，我们看看 destroy() 方法是如何销毁会话的：

    /**
     * Destroy a single session with the given token.
     *
     * @since 4.0.0
     *
     * @param string $token Session token to destroy.
     */
    public function destroy( $token ) {
        $sessions = $this->get_sessions();

        if ( ! isset( $sessions[ $token ] ) ) {
            return;
        }

        unset( $sessions[ $token ] );

        $this->update_sessions( $sessions );

        /**
         * Fires immediately after a session is destroyed.
         *
         * @since 4.0.0
         *
         * @param int    $user_id User ID.
         * @param string $token   Session token that was destroyed.
         */
        do_action( 'wp_session_tokens_destroy_session', $this->user_id, $token );
    }

destroy() 方法的逻辑如下：

1. $this->get_sessions(): 获取用户的所有会话令牌。
2. if ( ! isset( $sessions[ $token ] ) ): 如果会话令牌不存在，则返回。
3. unset( $sessions[ $token ] ): 从会话列表中删除指定的会话令牌。
4. $this->update_sessions( $sessions ): 更新用户元数据中的会话列表。
5. do_action( 'wp_session_tokens_destroy_session', $this->user_id, $token ): 触发一个钩子，允许其他插件或主题在会话被销毁后执行操作。

关键点总结：

• wp_destroy_other_browsing_sessions() 函数负责销毁用户的其他浏览会话。
• 它使用 WP_Session_Tokens 类来管理用户的会话令牌。
• 它通过删除用户元数据中的会话令牌来销毁会话。
• 它允许其他插件或主题在会话被销毁后执行操作。

四、流程图

为了更清晰地理解 wp_logout() 函数的工作流程，我们用一个流程图来总结一下：

graph TD
    A[开始 wp_logout()] --> B{do_action( 'wp_logout' ) (before)};
    B --> C[wp_clear_auth_cookie()];
    C --> D{wp_destroy_other_browsing_sessions()};
    D --> E{do_action( 'wp_logout' ) (after)};
    E --> F[wp_safe_redirect( home_url() )];
    F --> G[exit()];
    G --> H[结束];

    subgraph wp_clear_auth_cookie()
    I[do_action( 'clear_auth_cookie' ) (before)] --> J[setcookie(AUTH_COOKIE, ..., time() - YEAR_IN_SECONDS)]
    J --> K[setcookie(SECURE_AUTH_COOKIE, ..., time() - YEAR_IN_SECONDS)]
    K --> L[setcookie(LOGGED_IN_COOKIE, ..., time() - YEAR_IN_SECONDS)]
    L --> M{SITECOOKIEPATH != COOKIEPATH?};
    M -- Yes --> N[setcookie(AUTH_COOKIE, ..., time() - YEAR_IN_SECONDS, SITECOOKIEPATH)]
    N --> O[setcookie(SECURE_AUTH_COOKIE, ..., time() - YEAR_IN_SECONDS, SITECOOKIEPATH)]
    O --> P[setcookie(LOGGED_IN_COOKIE, ..., time() - YEAR_IN_SECONDS, SITECOOKIEPATH)]
    P --> Q[do_action( 'clear_auth_cookie' ) (after)]
    M -- No --> Q
    end

    subgraph wp_destroy_other_browsing_sessions()
    R[get_user_meta( 'session_tokens' )] --> S[WP_Session_Tokens::get_instance()]
    S --> T[WP_Session_Tokens->destroy_others()]
    end

    subgraph WP_Session_Tokens->destroy_others()
    U[WP_Session_Tokens->destroy_other_sessions( current_token )]
    end

    subgraph WP_Session_Tokens->destroy_other_sessions()
    V[Get all sessions] --> W{Loop through sessions};
    W -- Current session? (No) --> X[WP_Session_Tokens->destroy( session_token )]
    W -- Current session? (Yes) --> Y[Continue loop]
    Y --> W
    X --> W
    end

    subgraph WP_Session_Tokens->destroy()
    Z[Get all sessions] --> AA{Session exists?};
    AA -- Yes --> BB[Unset session]
    BB --> CC[Update sessions meta]
    CC --> DD[do_action( 'wp_session_tokens_destroy_session' )]
    AA -- No --> EE[Return]
    DD --> FF[Return]

    end

    style I fill:#f9f,stroke:#333,stroke-width:2px
    style R fill:#f9f,stroke:#333,stroke-width:2px
    style Z fill:#f9f,stroke:#333,stroke-width:2px

五、总结

wp_logout() 函数的核心功能是清除认证 Cookie 和会话数据，从而将用户踢出登录状态。它通过以下步骤完成这个任务：

1. 清除认证 Cookie：通过 wp_clear_auth_cookie() 函数，将 AUTH_COOKIE、SECURE_AUTH_COOKIE 和 LOGGED_IN_COOKIE 的值设置为空，并将过期时间设置为过去的时间。
2. 销毁其他浏览会话：通过 wp_destroy_other_browsing_sessions() 函数，使用 WP_Session_Tokens 类来管理用户的会话令牌，并删除用户元数据中的会话令牌。
3. 重定向到首页：通过 wp_safe_redirect( home_url() ) 函数，将用户重定向到网站首页。

此外，wp_logout() 函数还使用了钩子机制，允许其他插件或主题在用户登出前后执行一些自定义操作。

希望通过今天的讲解，大家对 WordPress 的 wp_logout() 函数有了更深入的了解。 谢谢大家！

六、一些思考

• 安全性： wp_logout() 函数的安全性至关重要。如果攻击者能够伪造登出请求，他们可能会强制用户登出，从而导致拒绝服务攻击。因此，应该采取一些安全措施来保护 wp_logout() 函数，例如使用 CSRF 令牌。
• 用户体验： wp_logout() 函数的用户体验也很重要。在用户登出后，应该提供清晰的反馈，例如显示一条“您已成功登出”的消息。
• 扩展性： wp_logout() 函数应该具有良好的扩展性，允许其他插件或主题在用户登出前后执行自定义操作。 WordPress 的钩子机制就提供了这种扩展性。

七、彩蛋

你知道吗？ 在某些情况下，即使你调用了 wp_logout()，用户可能仍然保持登录状态。 这可能是由于浏览器缓存、服务器缓存或 CDN 缓存等原因造成的。 为了解决这个问题，你可以尝试清除浏览器缓存、服务器缓存或 CDN 缓存。 另外，确保你的 WordPress 安装和插件都是最新版本，以避免安全漏洞。