WooCommerce: авторизация через социальные сети в одном шаге без плагинов

Автор: Максим Белов | Опубликовано: 10.06.2026

Диагностика проблемы: почему стандартная авторизация WooCommerce неудобна

WooCommerce по умолчанию использует стандартную форму входа WordPress, которая требует заполнения логина и пароля или регистрации через email. Это снижает конверсию, особенно если пользователи предпочитают вход через соцсети — Facebook, Google, ВКонтакте и другие. Многие решают использовать сторонние плагины, но они часто перегружают сайт и конфликтуют с темой или другими плагинами.

Задача — реализовать авторизацию через соцсети в один клик, минимизируя количество шагов, без использования плагинов, чтобы повысить удобство пользователей и сохранить контроль над кодом.

Пошаговое решение: интеграция OAuth2 авторизации соцсетей вручную

1. Регистрация приложения в соцсетях

Для каждого провайдера (например, Google и Facebook) нужно зарегистрировать приложение в их консоли разработчика и получить client_id и client_secret. При регистрации укажите URL редиректа на ваш сайт, например:

https://ваш-сайт.ru/oauth-callback/

2. Создание страницы редиректа и обработки OAuth

Создайте в корне темы файл oauth-callback.php или используйте endpoint через Rewrite API. В этом файле реализуйте прием кода авторизации и обмен его на access_token.

<?php
// oauth-callback.php
if (!isset($_GET['code'])) {
    wp_die('Отсутствует код авторизации');
}

$code = sanitize_text_field($_GET['code']);
// Пример для Google OAuth2
$client_id = 'ВАШ_CLIENT_ID';
$client_secret = 'ВАШ_CLIENT_SECRET';
$redirect_uri = 'https://ваш-сайт.ru/oauth-callback/';

$response = wp_remote_post('https://oauth2.googleapis.com/token', [
    'body' => [
        'code' => $code,
        'client_id' => $client_id,
        'client_secret' => $client_secret,
        'redirect_uri' => $redirect_uri,
        'grant_type' => 'authorization_code',
    ]
]);

if (is_wp_error($response)) {
    wp_die('Ошибка получения access token');
}

$body = json_decode(wp_remote_retrieve_body($response), true);
$access_token = $body['access_token'] ?? '';

// Далее используйте $access_token для запроса данных пользователя
?>

3. Получение данных пользователя и авторизация в WooCommerce

С access_token сделайте запрос к API соцсети, чтобы получить email и имя пользователя. По email проверяйте, есть ли такой пользователь в базе. Если есть — войдите через wp_set_auth_cookie(), если нет — создайте нового пользователя.

<?php
$user_info_response = wp_remote_get('https://www.googleapis.com/oauth2/v2/userinfo?access_token=' . $access_token);
$user_data = json_decode(wp_remote_retrieve_body($user_info_response), true);

if(empty($user_data['email'])) {
    wp_die('Не удалось получить email пользователя');
}

$user = get_user_by('email', $user_data['email']);
if (!$user) {
    $user_id = wp_create_user($user_data['email'], wp_generate_password(), $user_data['email']);
    wp_update_user([
        'ID' => $user_id,
        'display_name' => $user_data['name'] ?? $user_data['email'],
    ]);
    $user = get_user_by('ID', $user_id);
}

wp_set_auth_cookie($user->ID);
wp_redirect(home_url());
exit;
?>

Проверка результата после внедрения

Перейдите на страницу входа WooCommerce и добавьте кнопку «Войти через Google» с ссылкой на URL авторизации Google с параметрами client_id, redirect_uri и scope=email profile.
Нажмите кнопку, пройдите авторизацию и убедитесь, что вы попали на сайт авторизованным.
Проверьте в базе пользователей наличие нового пользователя, если ранее такого не было.
Повторите процесс с уже существующим пользователем — должен выполниться вход без создания новой учётной записи.

Частые ошибки и как исправить

Ошибка «Отсутствует код авторизации» — неверный redirect_uri в настройках приложения соцсети. Проверьте точное совпадение URL.
Не получается получить access_token — проверьте параметры запроса и client_secret, client_id.
Пользователь не создаётся — проверьте права записи в базу, ошибки PHP в логе, а также корректность email.
Редирект не работает — убедитесь, что функция wp_redirect() вызывается до вывода контента и вызывается exit;.

Практические советы по безопасности и производительности

Используйте sanitize_text_field() и другие функции очистки данных из GET-параметров, чтобы избежать XSS и инъекций.
Храните client_secret в wp-config.php или в защищённых опциях, не в открытом коде темы.
Ограничьте scope запрашиваемых прав только необходимыми (email и имя).
Используйте nonce и state-параметр OAuth для защиты от CSRF-атак.
Кешируйте ответы от API соцсетей при возможности, чтобы снизить нагрузку.

Сравнение вариантов реализации авторизации через соцсети

Метод	Плюсы	Минусы	Компромисс
Плагины (например, Nextend Social Login)	Быстро, много соцсетей, поддержка	Перегрузка, конфликты, зависимость	Использовать при отсутствии навыков программирования
Ручная интеграция OAuth2 (как в статье)	Контроль, легковесно, гибкость	Сложнее в разработке, требует поддержки	Лучше для опытных разработчиков с уникальными требованиями
Комбинированный подход (плагин + кастомный код)	Ускоряет разработку, кастомизация	Риск конфликтов, усложнение поддержки	Использовать, если требуется частичная кастомизация