WordPress用户角色权限详解

WordPress默认5个用户角色,分别为:订阅者、贡献者、作者、编辑和管理员,每个角色拥有不同的后台控制权,我们可以自由添加新的角色或为已有角色分配不同的权限。

用户角色权限

可以打印全局变量 $wp_roles 来查看所有用户的权限和等级。

subscriber(订阅者)

等级: level_0

权限:

  • read:阅读

contributor(贡献者)

等级: level_1

权限:

  • edit_posts:添加文章;
  • delete_posts:删除自己的文章。

贡献者提交的文章需要编辑或管理员审核,审核发布后的文章不再有权限编辑。

author(作者)

等级: level_2

权限:

  • upload_files:上传文件;
  • edit_published_posts:编辑自己已发布的文章;
  • publish_posts:发布自己的文章;
  • delete_published_posts:删除自己已发布的文章。

editor(编辑)

等级: level_7

权限:

  • moderate_comments:审核评论;
  • manage_categories:管理分类;
  • manage_links:管理友情链接;
  • unfiltered_html:文章、评论允许发布带有HTML标记的内容;
  • edit_pages:编辑页面;
  • edit_others_pages:编辑其他用户添加的页面;
  • edit_published_pages:编辑已发布的页面;
  • publish_pages:编辑页面的发布状态;
  • delete_pages:删除页面;
  • delete_others_pages:删除其他用户添加的页面;
  • delete_published_pages:删除已发布的页面;
  • delete_private_pages:删除私密页面;
  • edit_private_pages:编辑私密页面;
  • read_private_pages:查看私密页面。
  • edit_others_posts:编辑其他用户的文章;
  • delete_others_posts:删除其他用户的文章;
  • delete_private_posts:删除私密文章;
  • edit_private_posts:编辑私密文章;
  • read_private_posts:阅读私密文章。

administrator(管理员)

等级: level_10

权限:

  • update_themes:上传主题;
  • install_themes:安装主题;
  • switch_themes:切换主题;
  • edit_themes:编辑主题;
  • edit_theme_options:编辑主题选项;
  • delete_themes:删除主题;
  • update_plugins:上传插件;
  • delete_plugins:删除插件;
  • install_plugins:安装插件;
  • activate_plugins:激活插件;
  • edit_plugins:编辑插件;
  • list_users:查看用户列表;
  • create_users:添加用户;
  • edit_users:编辑用户;
  • promote_users:用户角色权限管理;
  • remove_users:移除用户;
  • delete_users:删除用户;
  • unfiltered_upload:未过滤的上传;
  • edit_files:编辑文件;
  • manage_options:管理设置选项;
  • edit_dashboard:仪表盘管理;
  • update_core:更新主程序;
  • import:工具中的导入功能;
  • export:导出。

高级别的用户拥有低级别用户的所有权限。

权限简要概括

  • 订阅者:可以编辑个人资料,查看文章。
  • 贡献者:添加文章和删除待审核中的文章,相当于投稿。
  • 作者:上传文件,添加、编辑和删除自己的文章(无论是否已审核),相当于专栏作者。
  • 编辑:拥有所有文章、页面和评论的管理权限。
  • 管理员:拥有所有后台权限。

添加新的用户角色及权限

在WordPress的二次开发中,常常需要添加新的用户角色权限:

add_role('manager', '经理', array(
	'read' => true,
	'level_0' => true,
));

以上示例添加了一个名称为经理的角色,仅拥有订阅者权限。

当然,我们可以给新增的角色或已存在的角色添加权限:

$wp_roles->add_cap('manager', 'edit_posts');

以上示例给“经理”添加了编辑文章的权限,注意在函数中使用时,需要先引入全局变量$wp_roles:

global $wp_roles;

在二次开发中可能需要自定义一些权限,例如我之前的实体店铺会员系统中就用到了自定义权限:

$wp_roles->add_cap('manager', 'delete_transactions');

然后在对应功能页面判断当前用户是否具有该权限:

current_user_can('delete_transactions')

还可以使用下面的方式判断是否为某个角色:

current_user_can('manager');

删除用户角色及权限

用户权限的设置保存在wp_options表的wp_user_roles字段,添加/编辑/删除用户权限其实就是修改这个字段的值。

下面是删除订阅者权限的示例代码:

remove_role('subscriber');

注意:无论何种情况下,不要删除管理员权限。一般来说,我们都不应该删除WordPress默认的角色,如果不小心删除了,可以在本地新安装一个WordPress,然后将wp_user_roles字段的值拷贝过来就可以了。

Typora