WordPress默认5个用户角色,分别为:订阅者、贡献者、作者、编辑和管理员,每个角色拥有不同的后台控制权,我们可以自由添加新的角色或为已有角色分配不同的权限。

用户角色权限
可以打印全局变量 \(wp_roles 来查看所有用户的权限和等级。

subscriber(订阅者)
等级:level_0

权限:

read:阅读
contributor(贡献者)
等级:level_1

权限:

edit_posts:添加文章;
delete_posts:删除自己的文章。
贡献者提交的文章需要编辑或管理员审核,审核发布后的文章不再有权限编辑。

author(作者)
等级:level_2

权限:

upload_files:上传文件;
edit_published_posts:编辑自己已发布的文章;
publish_posts:发布自己的文章;
delete_published_posts:删除自己已发布的文章。
editor(编辑)
等级:level_7

权限:

moderate_comments:审核评论;
manage_categories:管理分类;
manage_links:管理友情链接;
unfiltered_html:文章、评论允许发布带有HTML标记的内容;
edit_pages:编辑页面;
edit_others_pages:编辑其他用户添加的页面;
edit_published_pages:编辑已发布的页面;
publish_pages:编辑页面的发布状态;
delete_pages:删除页面;
delete_others_pages:删除其他用户添加的页面;
delete_published_pages:删除已发布的页面;
delete_private_pages:删除私密页面;
edit_private_pages:编辑私密页面;
read_private_pages:查看私密页面。
edit_others_posts:编辑其他用户的文章;
delete_others_posts:删除其他用户的文章;
delete_private_posts:删除私密文章;
edit_private_posts:编辑私密文章;
read_private_posts:阅读私密文章。
administrator(管理员)
等级:level_10

权限:

update_themes:上传主题;
install_themes:安装主题;
switch_themes:切换主题;
edit_themes:编辑主题;
edit_theme_options:编辑主题选项;
delete_themes:删除主题;
update_plugins:上传插件;
delete_plugins:删除插件;
install_plugins:安装插件;
activate_plugins:激活插件;
edit_plugins:编辑插件;
list_users:查看用户列表;
create_users:添加用户;
edit_users:编辑用户;
promote_users:用户角色权限管理;
remove_users:移除用户;
delete_users:删除用户;
unfiltered_upload:未过滤的上传;
edit_files:编辑文件;
manage_options:管理设置选项;
edit_dashboard:仪表盘管理;
update_core:更新主程序;
import:工具中的导入功能;
export:导出。
高级别的用户拥有低级别用户的所有权限。

权限简要概括
订阅者:可以编辑个人资料,查看文章。
贡献者:添加文章和删除待审核中的文章,相当于投稿。
作者:上传文件,添加、编辑和删除自己的文章(无论是否已审核),相当于专栏作者。
编辑:拥有所有文章、页面和评论的管理权限。
管理员:拥有所有后台权限。
添加新的用户角色及权限
在WordPress的二次开发中,常常需要添加新的用户角色权限:

add_role(‘manager’, ‘经理’, array(
‘read’ => true,
‘level_0’ => true,
));
以上示例添加了一个名称为经理的角色,仅拥有订阅者权限。

当然,我们可以给新增的角色或已存在的角色添加权限:

\)wp_roles->add_cap(‘manager’, ‘edit_posts’);
以上示例给“经理”添加了编辑文章的权限,注意在函数中使用时,需要先引入全局变量\(wp_roles:

global \)wp_roles;
在二次开发中可能需要自定义一些权限,例如我之前的实体店铺会员系统中就用到了自定义权限:

$wp_roles->add_cap(‘manager’, ‘delete_transactions’);
然后在对应功能页面判断当前用户是否具有该权限:

current_user_can(‘delete_transactions’)
还可以使用下面的方式判断是否为某个角色:

current_user_can(‘manager’);
删除用户角色及权限
用户权限的设置保存在wp_options表的wp_user_roles字段,添加/编辑/删除用户权限其实就是修改这个字段的值。

下面是删除订阅者权限的示例代码:

remove_role(‘subscriber’);
注意:无论何种情况下,不要删除管理员权限。一般来说,我们都不应该删除WordPress默认的角色,如果不小心删除了,可以在本地新安装一个WordPress,然后将wp_user_roles字段的值拷贝过来就可以了。