wordpress nonce是如何工作的？

我试图了解wordpress nonce在安全方面是如何工作的。nonce表示一次使用的数字，但根据wordpress的说法，它的有效期可以长达24小时，这毫无意义，在这段时间内，同一个客户端可以使用9999次

我认为wordpress nonce实际上是一个使用一次的数字，并且nonce只对一次性使用有效，但事实并非如此。我想为了更好的安全性，一次性使用号码会更好，例如，你有一个评论系统，有人点击回复两次。注释不是插入两次，而是插入一次，因为两个请求中给出了一次有效的nonce

---

我有什么不对劲吗？那些wordpress的临时数字的目的是什么？

你的理解有点错误。尽管nonce的有效期最长为24小时，在此之后它将过期并生成一个新的，但nonce只能使用一次

因此名称nonce-number只使用一次

---

这是一个网站，它可以帮助你更多地了解nonce背后的全部内容-

你是对的WordPress nonce不是一个真正的nonce。当nonce在12-24小时内有效时，它可以在一段时间内多次使用。需要使用nonce的主要原因是为了防止跨站点请求伪造和恶意脚本

但在所有其他安全案例中，您不应该依赖WP nonce。使用当前用户可以检查当前用户在您的网站上可以做什么和不能做什么