我正在寻找一种方法来防止所有用户在Mediawiki中更改密码(因为帐户创建和密码更改由中央SSO服务器处理)。
据我所知,Mediawiki用户可以通过两种方式更改密码:使用登录页面中的“忘记密码链接”(最佳解决方案是在此处显示自定义链接)和能够在用户首选项中更改密码。
我还没有找到合适的方法,因为LocalSettings.php中的简单配置似乎无法做到这一点。
非常感谢任何帮助。
答案 0 :(得分:5)
经过一些黑客攻击后,这是一个完整的解决方案。我没有在任何地方找到它,所以如果它对你有用,请竖起大拇指:
通过将以下更改放入LocalSettings.php
来自定义登录屏幕的输出$wgHooks['UserLoginForm'][] = 'lfChangeLoginPage';
function lfChangeLoginPage( &$template ) {
$template->set('canreset',false); // removes default reset password link
$template->set('resetlink',false);
// Use the following line to show your own 'reset password' link above the login fields
$template->set('link',"<a href='http://www.somedomain.org/lostpassword'>Forgot your password?</a>");
return true;
}
如果有人知道直接网址,请停用重置密码页面:
// Disallow password reset on password reset page
$wgHooks['UserLoginMailPassword'][] = 'MailPasswordIsAllowed';
function MailPasswordIsAllowed ( $username, $error ) {
$error = wfMsg( 'resetpass_forbidden' );
return false;
}
禁止在密码更改页面上更改密码(在用户首选项中通过链接引用):
$wgHooks['PrefsPasswordAudit'][] = 'ChangePasswordIsAllowed';
function ChangePasswordIsAllowed ( $user ) {
throw new PasswordError( wfMsg( 'resetpass_forbidden' ));
return true;
}
隐藏用户首选项中的密码更改链接:
$wgHooks['GetPreferences'][] = 'RemovePasswordChangeLink';
function RemovePasswordChangeLink ( $user, &$preferences ) {
unset($preferences['password']);
return true;
}
答案 1 :(得分:1)
如果您使用的是当前版本的MediaWiki(在发布此文档时为1.32,但现在可以回到1.18),Carsten Schmitz接受的答案中的大多数挂钩现在已被弃用或什至已被删除,因此我将发布一个类似的解决方案,其中包含当前可用的钩子(可与AuthManager
一起使用)。
与往常一样,将以下行添加到LocalSettings.php
:
这将删除密码重置链接和登录页面登录帮助。如果您想添加另一个链接,只需将false
替换为有效的HTML链接,例如<a href="https://urltopasswordchangesite">I forgot my password</a>
:
$wgHooks['AuthChangeFormFields'][] = function ( $requests, $fieldInfo, &$formDescriptor, $action ) {
if ($action === "login") {
// Removes the "Help for logging in" link
$formDescriptor["linkcontainer"]["default"] = false;
// Removes the actual password reset link
$formDescriptor["passwordReset"]["default"] = false;
}
return true;
};
此钩子将删除用户首选项面板中的密码重置按钮:
$wgHooks['GetPreferences'][] = function ( $user, &$preferences ) {
unset( $preferences['password'] );
return true;
};
最后,禁用密码和凭据更改的最简单方法是禁用相应的特殊页面:
$wgHooks['SpecialPage_initList'][] = function ( &$list ) {
unset( $list['ChangeCredentials'] );
unset( $list['PasswordReset'] );
return true;
};
答案 2 :(得分:0)
答案 3 :(得分:-1)
我刚刚这样做了,这足以隐藏链接(mediawiki 1.20.3):
AuthPlugin.php
第176行:
从
改变public function allowPasswordChange() {
return true;
}
到
public function allowPasswordChange() {
return false;
}