Extension:CentralAuth（中央认证）

MediaWiki扩展手册

CentralAuth 发行状态： 稳定版
实现	用户身份 , 数据库 , 特殊页面 , API
描述	可将許多帐户合并為全域帐户
作者	Brooke Vibber留言
兼容性政策	快照跟随MediaWiki发布。 master分支不向后兼容。
数据库更改	是
虚拟域	virtual-centralauth
表 globalnames localnames globaluser localuser global_user_groups global_group_permissions wikiset global_group_restrictions renameuser_status renameuser_queue users_to_rename global_edit_count global_user_autocreate_serial
参数 $wgCentralAuthAutoLoginWikis $wgCentralAuthCookiePath $wgCentralAuthEnableSul3 $wgCentralAuthAutomaticVanishPerformer $wgCentralAuthReadOnly $wgCentralAuthAutoMigrate $wgCentralAuthFallbackAppealUrl $wgCentralAuthBlockAppealWikidataIds $wgCentralAuthSul3SharedDomainRestrictions $wgCentralAuthEnableGlobalRenameRequest $wgCentralAuthRestrictSharedDomain $wgCentralAuthGlobalPasswordPolicies $wgCentralAuthCookieDomain $wgCentralAuthWikisPerSuppressJob $wgCentralAuthFallbackAppealTitle $wgCentralAuthCookies $wgCentralAuthAutomaticVanishWiki $wgCentralAuthRC $wgCentralAuthGlobalBlockInterwikiPrefix $wgCentralAuthAutoMigrateNonGlobalAccounts $wgCentralAuthDatabase $wgCentralAuthDryRun $wgCentralAuthAutomaticGlobalGroups $wgCentralAuthCentralWiki $wgCentralAuthSharedDomainCallback $wgCentralAuthLoginIcon $wgCentralAuthStrict $wgCentralAuthOldNameAntiSpoofWiki $wgCentralAuthLoginWiki $wgCentralAuthWikidataApiUrl $wgCentralAuthSessionCacheType $wgGlobalRenameDenylist $wgCentralAuthCookiePrefix $wgCentralAuthRejectVanishUserNotification $wgCentralAuthAutoCreateWikis $wgCentralAuthPrefsForUIReload
添加权限 centralauth-createlocal centralauth-merge centralauth-unmerge centralauth-lock centralauth-suppress globalgrouppermissions globalgroupmembership centralauth-rename
使用的函数钩 APIGetAllowedParams AbuseFilter-builder AbuseFilter-computeVariable AbuseFilter-generateUserVars AbuseFilterAlterVariables AbuseFilterShouldFilterAction ApiCheckCanExecute ApiQueryCheckCanExecute ApiQueryTokensRegisterTypes AuthChangeFormFields AuthManagerFilterProviders AuthManagerVerifyAuthentication AuthPreserveQueryParams BeforePageDisplay BlockIpComplete ContentSecurityPolicyDefaultSource ContentSecurityPolicyScriptSource ContributionsToolLinks GetLocalURL GetLogTypesOnUser GetPreferences GetSecurityLogContext GetUserBlock ImportHandleUnknownUser InvalidateEmailComplete LoadExtensionSchemaUpdates LocalUserCreated LogEventsListGetExtraInputs LoginFormValidErrorMessages MakeGlobalVariablesScript OtherBlockLogLink PasswordPoliciesForUser PostLoginRedirect RenameUserComplete RenameUserPreRename RenameUserWarning ResourceLoaderForeignApiModules ResourceLoaderModifyEmbeddedSourceUrls RestCheckCanExecute SecurePoll_GetUserParams SecuritySensitiveOperationStatus SessionCheckInfo SetupAfterCache SiteNoticeBefore SpecialContributionsBeforeMainOutput SpecialLogAddLogSearchRelations SpecialPageBeforeExecute SpecialPage_initList SpecialPasswordResetOnSubmit TempUserCreatedRedirect TestCanonicalRedirect UnblockUserComplete UnitTestsAfterDatabaseSetup UnitTestsBeforeDatabaseTeardown UserArrayFromResult UserEditCountUpdate UserGetEmail UserGetEmailAuthenticationTimestamp UserGetReservedNames UserGetRights UserGroupsChanged UserIsBot UserIsLocked UserLoginComplete UserLogout UserLogoutComplete UserRequirementsCondition UserSaveSettings UserSetEmail UserSetEmailAuthenticationTimestamp getUserPermissionsErrors getUserPermissionsErrorsExpensive
提供的函数钩 CentralAuthIsUIReloadRecommended CentralAuthLoginRedirectData CentralAuthPostLoginRedirect CentralAuthSilentLoginRedirect CentralAuthWikiList CentralAuthInfoFields
许可协议	GNU通用公眾授權條款2.0或更新版本
下載	下載扩展 Git [?]: 浏览存储库 (Phabricator · GitHub) Gerrit代码复核 Git提交日誌 下載原始碼（tarball壓縮）
前往translatewiki.net翻譯CentralAuth扩展
問題	开启的任务 · 报告错误

CentralAuth可将现有的几个分開的账户系统合并为一个全域账户系统。

警告：

CentralAuth是专门为维基媒体项目而设计的，该项目已经具有数百万个需要合并到全域表中的帐户。 如果你正要从头开始建立一个新的维基农场，而並沒有将现有帐户合并到全域表中的需求，则使用$wgSharedDB 來设置全域帐户比CentralAuth要容易得多。[1][2] 然而，$wgSharedDB只对防止用户名建立冲突有效，它并不处理例如全域登录（用户要分别登入各个维基）或跨集群账户权限和管理之类的事。 该扩展以付出了复杂性的代价提供上述的功能。 如果你最终在第三方维基上使用了这个扩展，很可能最终不得不对复杂的问题进行故障排除，而这些问题可能需要深入到源代码中才能解决。 我已经警告过你了。

警告：	CentralAuth不适用于基于SQLite的设置，例如Quickstart 。 请参阅T382432。

有关使用CentralAuth的先决条件，请参见下面的配置部分。 當你已經准备好激活CentralAuth时，请按照以下说明进行操作：

1. 請安装扩展:AntiSpoof ，因为它是一个必需的依赖项。
2. 下载最新快照并解压到您的extensions目录中。
3. 选择一個数据库然後创建CentralAuth数据库表。 您可以使用现有的数据库或创建一个新的数据库。 （默认情况下，扩展使用本地wiki的数据库便于自动化测试，但是并不适用于实际维基农场的情况（毕竟每个站点的用户都不同，但是CentralAuth的意义就是在站点间共享数据），所以您需要进行配置；参见下面的$wgVirtualDomainsMapping['virtual-centralauth']。） 使用这个数据库，然后运行tables-generated.sql。
   • 如果你使用扩展:AntiSpoof ，你將需要创建一个全域的spoofuser表（以阻挡那些看起来和任何维基中已有用户名相似的新用户名）。 一种方法是从本地维基数据库中转储spoofuser表，然后将其导入新的$wgVirtualDomainsMapping['virtual-centralauth']表。
4. 为您的每个维基的LocalSettings.php 添加wfLoadExtension( 'CentralAuth' );，或在您的每个维基的LocalSettings.php中包含的另一个PHP文件中添加wfLoadExtension( 'CentralAuth' );。
5. 该扩展现在应该处于活跃状态。

以下示例 Shell 和 SQL 命令可用于创建 centralauth 数据库、将 spoofuser 表复制到其中，并迁移现有用户数据。 请将 $wgDBname 和 $wgDBuser 替换为您自己维基安装的相应凭据值。

创建新数据库（请注意，此步骤可选。您也可使用现有数据库，若如此，则请跳至创建表的步骤）：

$ cd extensions/CentralAuth
$ mysql -u root -p
（输入 root SQL 用户的密码）

CREATE DATABASE centralauth;
USE centralauth;
GRANT all on centralauth.* to '$wgDBuser'@'localhost';
quit

下文假定您当前的工作目录是您的 MediaWiki 安装目录（而非 CentralAuth 目录）。 创建中央认证表（推荐使用 sql.php ）。

php maintenance/run.php sql --wikidb centralauth extensions/CentralAuth/schema/<数据库类型>/tables-generated.sql

如果已安装AntiSpoof，则通过以下方式创建表格（如果想保留以前的入口，也可以复制现有的AntiSpoof表格）：

php maintenance/run.php sql --wikidb centralauth extensions/AntiSpoof/sql/<数据库类型>/tables-generated.sql

运行用户迁移脚本

$ php maintenance/run.php CentralAuth:migratePass0.php
$ php maintenance/run.php CentralAuth:migratePass1.php

CentralAuth是专为手动运行数据库更新的大型维基站点设计，以实现零停机升级。 出于此原因，CentralAuth数据库将不会以常规升级進程更新。 第三方用户应遵循CentralAuth的开发流程，並以手动套用数据库迁移。

警告：	如果您想在不同的主域之间实现通用登录（即如果您的维基不在同一域的子域之下），则需要一个中央登录维基（詳見#SUL2）或是共用認證域（詳見#SUL3）。

首先，您需要使用$wgConf 配置您的维基家族，否则中央认证将无法用于您的维基家族。 这包括设置$wgLocalDatabases 并将其分配给$wgConf->wikis，以及$wgConf->settings（最低要求是$wgCanonicalServer 、$wgServer 和$wgArticlePath ）。 请仔细遵循示例。 创建新的维基家族时，请注意：如果同一组内各维基所对应的数据库均使用相同的后缀（例如，假设属于同一组的维基数据库 enwiki、dewiki、frwiki 等均使用后缀“wiki”），可能会更便于管理。

安装此扩展后，您需要在中央认证数据库中收集一些数据。 为了追溯设置全域账户，您将需要运行 migratePass0.php 和 migratePass1.php 脚本。 前者将有关您维基的信息存储在中央认证数据库中，而后者则采用自动迁移启发法来生成全域账户。 用户可以通过Special:MergeAccount手工合并其帐户。 试运行可用于测试目的。

要启用全域用户组，您将需要在您的中央认证数据库中的 global_group_permissions 表内添加一条记录，包含 ggp_group='steward' 以及（用于访问用户组管理界面的）ggp_permission=globalgrouppermissions。 以下是推荐使用的查询示例：

INSERT INTO global_group_permissions (ggp_group,ggp_permission) VALUES ('steward','globalgrouppermissions'), ('steward','globalgroupmembership');

然后，将部分用户提升为监管员：

INSERT IGNORE INTO global_user_groups (gug_user, gug_group) VALUES ((SELECT gu_id FROM globaluser WHERE gu_name='Admin'), 'steward');

您可能希望修改的各种设置（例如是否在整个域内提供单点登录）列于CentralAuth.php中。 具体而言，你需要为$wgVirtualDomainsMapping['virtual-centralauth']设定一个值。 确保将这些设置放在LocalSettings.php中的wfLoadExtension行之后，例如：

wfLoadExtension( 'CentralAuth' );
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauth' ];

警告：	由于所有已登录用户都将在中央登录维基中保持会话，建议您设置一个安装了尽可能少扩展的新维基（请勿为此使用现有维基）。 此举将降低 XSS 漏洞的风险。

警告：	在较新版本的谷歌 Chrome 浏览器中，通用登录功能可能因 SameSite Cookie 限制而无法正常工作。 为了修复此问题，你需要添加： $wgCookieSameSite = "None"; $wgUseSameSiteLegacyCookies = true; 此外，您的网站必须通过HTTPS运行。

2013年7月，维基媒体基金会调整了用户跨多wiki站点的登录机制。 采用此新方式配置后，中央认证系统会在用户成功登录或创建账户后，跳转至“中央登录维基”上的Special:CentralLogin/start?token=somevalue页面。该页面将在该维基设置Cookie，随后重定向回用户所登录的维基。 它跳过了“登录/账户创建成功”页面，直接重定向回用户原先所在的“returnto”页面。 它在页面底部放置1x1像素的图片，取代了原先“登录/账户创建成功”页面上使用的图标。

这一设置大致如下：

# 通用中央认证配置
$wgCentralAuthCookies = true;
// 默认使用本地维基数据库
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauthDatabaseName' ];
$wgCentralAuthAutoMigrate = true;
$wgCentralAuthAutoLoginWikis = [
    # 其他维基站点的域名与维基ID的映射关系，用于实现自动登录功能
    'enwiki.mediawiki.mwdd.localhost' => 'enwiki',
];

# 激活重定向至“中央登录维基”
$wgCentralAuthLoginWiki = 'WikiIdOfLoginWiki';

$wgCentralAuthLoginWiki 是CentralAuth在登录和创建账户操作时将重定向到的维基ID（通常为数据库名称）。

2025年，维基媒体集群的配置进行了调整，用户身份验证（例如输入密码）改在一个共享的域名上进行，而非各维基站点的独立域名。 共享域可配置为服务于农场中的每个维基。 此举源于浏览器对Cookie处理的调整，可能导致通过中央维基跳转时无法正常设置Cookie。 详情请参阅SUL3。

将您的维基农场配置为使用SUL3：

1. 请确保您的维基农场已配置使用sites表 或$wgConf （参见#Setup）。 $wgCentralAuthLoginWiki和$wgLocalDatabases也应进行设置。 中央认证的其他部分对此缺失尚有一定容忍度，但SUL3会直接崩溃。
   • 即便仅为单一维基站搭建本地开发环境时也需要这一步骤，但可大幅简化，详见下文。
2. 配置您的服务器，使其能在另一个域名下托管您的其中一个维基。 若已配置SUL2，请使用登录维基；否则任选其一即可。
   • 如果您正在设置本地开发环境，并且将唯一的wiki托管在http://localhost（可选端口号）上，请注意所有本地子域名都会解析到您的机器，因此您可以直接使用诸如http://auth.localhost和http://wiki.localhost这样的地址，无需进行任何配置。
3. 设置$wgCentralAuthSharedDomainCallback返回您的新域名。 请注意，这是一个回调函数，而非字符串。
4. 设置$wgCentralAuthEnableSul3 = true;

您可能需要调整一些MediaWiki配置设置以支持此功能：

• 在通过认证域名访问您的维基时，必须根据条件将$wgServer和$wgCanonicalServer设置为认证域名，否则尝试登录时会陷入重定向循环。 CentralAuth从步骤1中定义的wiki农场配置读取“真实”的规范服务器。
• 为了通过认证域名服务多个维基，需调整$wgCentralAuthSharedDomainCallback以在域名后添加基于维基的路径前缀，配置服务器根据该前缀提供对应维基服务，并相应调整$wgScriptPath, $wgArticlePath等参数以匹配设置。 要准确做到这一点很棘手，所以如果你正在搭建本地开发环境，就不必费心了。
• 检查您的MediaWiki cookie设置，确保通过认证域名访问时wiki能够设置cookies，且不会与wiki的正常cookies发生冲突。 通过认证域名访问维基时条件性设置$wgCentralAuthCookiePrefix是避免Cookie名称冲突的好方法。

以下是在开发环境的单维基“农场”上运行SUL3中央认证的最小配置：

// 单维基“农场”的最小配置
$wgConf->wikis = [ $wgDBname ];
$wgConf->suffixes[] = '';
$wgConf->settings = [
	'wgServer' => [ 'default' => 'http://wiki.localhost:8080' ],
	'wgArticlePath' => [ 'default' => '/wiki/$1' ],
];
// 中央认证所需的杂项设置
$wgCentralAuthLoginWiki = $wgDBname;
$wgLocalDatabases = [ $wgDBname ];

// 启用中央认证SUL3
$wgCentralAuthSharedDomainCallback = fn () => 'http://auth.localhost:8080'; 
$wgCentralAuthEnableSul3 = true;

// 指向访问wiki所使用的任意域名中的$wgServer
$wgCanonicalServer = $wgServer = MediaWiki\Request\WebRequest::detectServer( true );
if ( $wgServer === 'http://auth.localhost:8080' ) {
	// 共享认证域的条件配置放在此处
}

When using CentralAuth, different wikis must share the same MainCache (to allow purging of cached cross-wiki data such as global edit counts), the same session store (the store $wgCentralAuthSessionCacheType points to) , and the same MicroStash (for centralauthtoken).

为获得最佳效果，建议使用memcached或更持久的缓存方案。 如果只有一台服务器，也可以使用APCu等加速器缓存（CACHE_ACCEL），但多台服务器时切勿使用。

默认情况下，当$2设置为$3或CACHE_DB时，维基农场中的每个维基将使用其自身数据库中的objectcache表（带有自身的数据库前缀）。 要让此功能与CentralAuth协同工作，我们需要告知各wiki使用中央缓存表。 若未为$wgMainCacheType设置缓存（即CACHE_NONE）或正在使用CACHE_DB，则需确保所有wiki使用相同的缓存表。

$wgObjectCaches[CACHE_DB] = [
	'class' => SqlBagOStuff::class,
	'loggroup' => 'SQLBagOStuff',
	'server' => [
		'type' => $wgDBtype,
		'host' => $wgDBserver,
		'user' => $wgDBuser,
		'password' => $wgDBpassword,
		// 或任意用来存储中央数据的数据库
		'dbname' => 'centralauth',
	]
];
$wgSessionCacheType = CACHE_DB;

You have to create this table yourself, because objectcache is not (yet) a virtual domain and so is cannot be created by maintenance/update.php. Run the following via maintenance/sql.php to create the table (where "enwiki" is one of your wiki databases):

CREATE TABLE centralauth.objectcache LIKE enwiki.objectcache;

自2023年起，CentralAuth不再支持HTTP/HTTPS混合协议维基站点，仅支持纯HTTPS维基（需将$wgForceHTTPS 设置为true）以及纯HTTP维基（主要用于本地测试）。 (phab:T348852)

自MediaWiki 1.41起，您可为CentralAuth配置数据库虚拟域映射 ，该功能取代了$wgCentralAuthDatabase。 要使用CentralAuth设置虚拟域映射，请使用：

// 'centralauth' 是您的 CentralAuth 数据库名称。
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauth' ];

Allows for a single-user login (SUL) system using MediaWiki's AuthPlugin system. User creation and login is done globally using one central user table across all wikis. Note that local user accounts are automatically created on account creation/login however.

This extension also implements global user groups, to which global accounts can belong to.

CentralAuth defines several new user rights:

A user with an account on more than one wiki may use Special:MergeAccount to create their global user account, which can then be used on any wiki. Users with the centralauth-unmerge permission (given to stewards by default) can undo a merging of a global account, where the passwords are all reset back to the pre-merge setting. User accounts can now also be renamed globally.

A global account can be locked or hidden by a user with the centralauth-lock and centralauth-suppress permissions, respectively, given to the local group 'stewards' by default. A locked global account will be immediately logged out of any session on any wiki it is currently logged in to. A hidden global account's username is not visible in any logs except the global account log.

A wiki set is a group of wikis specified by a user with the globalgrouppermissions right. Sets can be opt-in (wikis are not in it by default) or opt-out (wikis are in it unless opted out).

Once you have enabled global user groups as described in the installation section, a migrated steward can use the Special:GlobalGroupPermissions interface to configure global user groups, and their rights. A global user group is active on all wikis (the users in it have its rights on all the wikis) by default, unless the group has been specified to only be active on a specific wiki set (the users in the group only have the rights if they are on a wiki in the set). Global group permissions are not listed at Special:ListUsers, but instead Special:GlobalUsers. They are assigned by a user with the globalgroupmembership permission (by default the global group stewards), and give the specified rights to the user even if the local rights defined by $wgGroupPermissions do not do so.

The extension is available under the GNU General Public License 2.0 or later, and can be downloaded from Git, or accessed via the web-based viewer.

The software is provided as-is. Updates will be made according to the needs of Wikimedia wikis; or where critical vulnerabilities are discovered.

请参阅Extension:CentralAuth/API 。

• Help:Unified login on Meta-Wiki
• Extension:CentralAuth/authentication – CentralAuth authentication features
• $wgSharedDB
• User:Legoktm/evil-plans2.txt – 2015 plan to phase out CentralAuth at Wikimedia
• Global session threat assessment
• Integrated watchlists
• CentralAuth control flow
• Stuck global renames

此扩展用于一个或多个维基媒体项目。 这可能意味着扩展足够稳定、运作足够良好，可以用在这样的高流量的网站上。 请在维基媒体的CommonSettings.php和InitialiseSettings.php配置文件中查找此扩展的名称以查看哪些网站安装了该扩展。 特定wiki上的已安装的扩展的完整列表位于Special:Version页面。

此扩展在以下wiki农场/托管网站和/或软件包中提供： Miraheze Telepedia