Русский
ru

Если текущий пользователь является администратором или редактором

30 янв. 2014 г., 16:08:32
Просмотры: 429K
Голосов: 167

Как я могу проверить, является ли текущий авторизованный пользователь администратором или редактором?

Я знаю, как сделать каждую проверку по отдельности:

<?php if(current_user_can('editor')) { ?> 
    <!-- Контент для редакторов -->
<?php } ?>

<?php if(current_user_can('administrator')) { ?>
    <!-- Контент для администраторов -->
<?php } ?>

Но как мне объединить эти проверки? То есть, чтобы проверить, является ли пользователь администратором или редактором?

пользователи роли пользователей
1
Комментарии

if( current_user_can('editor') || current_user_can('administrator') )

Shazzad Shazzad
30 янв. 2014 г. 16:10:02
Все ответы на вопрос 6
7
318

Первый ответ, не связанный с WordPress, потому что это просто PHP: Используйте логический оператор "ИЛИ":

<?php if( current_user_can('editor') || current_user_can('administrator') ) {  ?>
    // Здесь код для администраторов или редакторов
<?php } ?>

Если вы хотите проверить более двух ролей, вы можете проверить, находятся ли роли текущего пользователя внутри массива ролей, что-то вроде:

$user = wp_get_current_user();
$allowed_roles = array('editor', 'administrator', 'author');
<?php if( array_intersect($allowed_roles, $user->roles ) ) {  ?>
   // Здесь код для разрешенных ролей
<?php } ?>

Однако, current_user_can может использоваться не только с названиями ролей пользователей, но и с возможностями (capabilities).

Таким образом, поскольку и редакторы, и администраторы могут редактировать страницы, ваша задача может быть упрощена проверкой этих возможностей:

<?php if( current_user_can('edit_others_pages') ) {  ?>
    // Здесь код для ролей пользователей, которые могут редактировать страницы: редакторы и администраторы
<?php } ?>

Посмотрите здесь для получения дополнительной информации о возможностях.

30 янв. 2014 г. 16:16:14
Комментарии

нужно ли проверять is_logged_in(); ?

RobBenz RobBenz
1 мая 2017 г. 14:09:58

@RobBenz нет, ни в одном из случаев. Потому что current_user_can() всегда возвращает false, если пользователь не авторизован, а wp_get_current_user() вернет пользователя без какой-либо роли, если пользователь не авторизован, поэтому array_intersect() всегда будет false.

gmazzap gmazzap
1 мая 2017 г. 21:46:24

В PHPDoc функции current_user_can() мы можем увидеть строку "Хотя проверка определенных ролей вместо возможностей частично поддерживается, эта практика не рекомендуется, так как может привести к ненадежным результатам". Поэтому я думаю, что лучше избегать использования ролей при проверке возможностей пользователя :-)

Erenor Paz Erenor Paz
1 сент. 2017 г. 12:58:24

Когда я использую метод array_intersect, я получаю PHP-предупреждение в журнале ошибок сервера, говорящее array_intersect(): Argument #2 is not an array. Это происходит потому, что у пользователя(ей) есть только одна Роль?

Garconis Garconis
23 янв. 2018 г. 16:44:54

@Garconis обычно это должен быть массив. По какой-то причине похоже, что у вас это не массив. array_intersect($allowed_roles, (array)$user->roles ) будет работать без проблем.

gmazzap gmazzap
25 янв. 2018 г. 09:02:14

Я бы посоветовал проверять не роли, а возможности. Легче удалить или добавить возможность набору ролей... это более явно. Например, current_user_can('edit_orderform')... возможно, менеджер по продажам должен ТОЛЬКО иметь возможность редактировать форму заказа... но не иметь прав на добавление контента. Явное предоставление такой возможности - это более четкая структура разрешений, чем роль пользователя. В крупных организациях люди выполняют несколько функций. У вас могут быть подписчики, имеющие больший доступ, чем просто чтение.

Armstrongest Armstrongest
14 мая 2019 г. 00:42:05

+1 не понимаю, почему люди так яростно выступают против использования current_user_can для проверки ролей. Это задокументировано в API как легитимное использование, конец истории. Разумно ли это делать? зависит от контекста

Mark Kaplun Mark Kaplun
27 сент. 2021 г. 08:21:03
Показать остальные 2 комментариев
11
21

Во-первых, current_user_can() не следует использовать для проверки роли пользователя - его следует использовать для проверки наличия у пользователя определенного права доступа.

Во-вторых, вместо того, чтобы беспокоиться о роли пользователя, а сосредоточиться на правах доступа, вам не нужно заботиться о решении проблем, подобных той, что была задана в исходном вопросе (проверка, является ли пользователь администратором ИЛИ редактором). Вместо этого, если current_user_can() использовалась бы по назначению, то есть для проверки прав доступа пользователя, а не его роли, вам не потребовалась бы условная проверка с использованием "или" (||). Например:

if ( current_user_can( 'edit_pages' ) ) { ...

edit_pages - это право доступа, которое есть у ролей администратора и редактора, но отсутствует у более низких ролей, таких как авторы. Именно так и предполагалось использовать current_user_can().

6 янв. 2019 г. 05:23:19
Комментарии

Обратите внимание: Опытные WP разработчики согласны с этим ответом. Следует по возможности избегать проверки ролей и использовать возможности (capabilities). В настоящее время я работаю над проектом с несколькими ролями, которые имеют только возможность 'read'. Для меня единственное решение - это проверка ролей. Извините, я не могу найти ссылку, это было открытое обсуждение на GitHub WordPress.

Bjorn Bjorn
27 апр. 2019 г. 00:44:38

На мой взгляд, это должен быть принятый ответ. current_user_can обычно следует использовать для проверки возможностей (capabilities), а не ролей.

Armstrongest Armstrongest
14 мая 2019 г. 00:43:30

+1 к этому, избегайте проверки ролей через current_user_can(). Если вы хотите проверить роли по ключу, тогда выполняйте проверку роли вместо проверки возможностей :)

William Patton William Patton
5 мар. 2020 г. 13:43:13

Какая тогда правильная функция для явной и безопасной проверки ролей пользователей? Кажется, её довольно сложно найти (если она существует). @Bjorn

Viktor Borítás Viktor Borítás
15 апр. 2020 г. 11:26:55

@Viktor Borítás На этой странице есть несколько правильных решений. Но используйте их только если current_user_can() не подходит. Кроме того, мой комментарий больше касается безопасности. Например, если вы хотите ограничить контент для определенных пользователей, в большинстве случаев достаточно проверки возможностей для этой задачи.

Bjorn Bjorn
16 апр. 2020 г. 16:21:43

Предпочтительнее использовать возможности (capabilities) "для защиты" операций, поскольку они более гибкие, легче фильтруются и могут быть детально назначены пользователям. Но если вопрос, на который ищется ответ: "Является ли текущий пользователь редактором?", тогда использование current_user_can абсолютно нормально, фактически, это именно тот способ, который следует использовать.

gmazzap gmazzap
18 мар. 2021 г. 20:55:11

@gmazzap - вообще-то, использование current_user_can() для проверки роли - это не "совершенно нормально". Если бы это было так, зачем бы в документации функции нужно было указывать "эта практика не рекомендуется, так как может привести к ненадежным результатам". То, что что-то "работает", не делает это хорошей или приемлемой практикой. Интернет уже полон плохих практик программирования, выдаваемых за приемлемые. Пожалуйста, не добавляйте к этому.

butlerblog butlerblog
13 апр. 2021 г. 20:16:12

@butlerblog вы знаете, что Codex пишется участниками? Я программирую для WordPress 16 лет, и количеством ошибок, которые я нашел в Codex за эти годы, я мог бы написать книгу. Тем не менее, это не ошибка, а просто плохо написано. Как я уже писал, практика не рекомендуется для ответа на вопрос: "разрешено ли текущему пользователю делать X?", потому что если это то, что вам нужно узнать, проверка роли действительно даст ненадежные результаты. Но если вы хотите ответить на вопрос "Есть ли у этого пользователя роль X?", что является другим вопросом, тогда current_user_can() - это правильный способ.

gmazzap gmazzap
16 апр. 2021 г. 15:33:46

Я не ссылаюсь на codex. Codex не только технически устарел, то, о чем мы говорим, исходит непосредственно из встроенной документации в Core и находится в документации для разработчиков, которая имеет значительно больший контроль, чем codex. Кроме того, поощрение такого использования этой функции приводит к другим плохим привычкам в неправильном использовании ролей против возможностей, примеры которых изобилуют по всему интернету. Вы имеете право на свое мнение, но нам придется согласиться с тем, что мы не согласны.

butlerblog butlerblog
17 апр. 2021 г. 20:38:22

Извините, если это технически устарело, какой способ вы используете в WordPress для проверки, имеет ли пользователь определенную роль? @butlerblog Обратите внимание, что я не спрашиваю, как проверить, авторизован ли пользователь для выполнения операции, а именно - как проверить, имеет ли пользователь роль или нет.

gmazzap gmazzap
31 окт. 2022 г. 11:34:56

Когда я сказал "технически устарело", я конкретно имел в виду вашу ссылку на codex. Использование current_user_can() не является устаревшим - оно никогда не предназначалось для проверки роли - так было с WordPress 2.0, и это отмечено в коде и в документации для разработчиков. Чтобы проверить, имеет ли пользователь роль (для чего практически нет веских причин), это массив в объекте: $user->roles. Например: in_array( 'some_role', $user->roles ); Но проверка ролей ведет к плохим привычкам. Роли предназначены для массового назначения группы возможностей пользователю, проверять следует именно возможности.

butlerblog butlerblog
2 нояб. 2022 г. 17:42:47
Показать остальные 6 комментариев
5
4

Как указано в ответе @butlerblog, вам не следует использовать current_user_can для проверки роли

Это замечание специально добавлено в PHP документацию функции has_cap, которая вызывается через current_user_can

Хотя проверка роли вместо возможности частично поддерживается, такая практика не рекомендуется, так как может привести к ненадежным результатам.

ПРАВИЛЬНЫЙ способ сделать это - получить пользователя и проверить $user->roles, вот так:

if( ! function_exists( 'current_user_has_role' ) ){
    function current_user_has_role( $role ) {

        $user = get_userdata( get_current_user_id() );
        if( ! $user || ! $user->roles ){
            return false;
        }

        if( is_array( $role ) ){
            return array_intersect( $role, (array) $user->roles ) ? true : false;
        }

        return in_array( $role, (array) $user->roles );
    }
}

Вот несколько вспомогательных функций, которые я использую для этого (так как иногда мне нужен не только текущий пользователь):

if( ! function_exists( 'current_user_has_role' ) ){
    function current_user_has_role( $role ){
        return user_has_role_by_user_id( get_current_user_id(), $role );
    }
}

if( ! function_exists( 'get_user_roles_by_user_id' ) ){
    function get_user_roles_by_user_id( $user_id ) {
        $user = get_userdata( $user_id );
        return empty( $user ) ? array() : $user->roles;
    }
}

if( ! function_exists( 'user_has_role_by_user_id' ) ){
    function user_has_role_by_user_id( $user_id, $role ) {

        $user_roles = get_user_roles_by_user_id( $user_id );

        if( is_array( $role ) ){
            return array_intersect( $role, $user_roles ) ? true : false;
        }

        return in_array( $role, $user_roles );
    }
}

Затем вы можете просто сделать так:

current_user_has_role( 'editor' );

или

current_user_has_role( array( 'editor', 'administrator' ) );

26 авг. 2019 г. 21:21:50
Комментарии

Доступ к свойствам низкого уровня никогда не является хорошей идеей в WP, и это точно не правильный способ. Если вопрос, на который ищется ответ - "Является ли текущий пользователь редактором?", тогда использование current_user_can вполне подходит, фактически, это именно тот путь, по которому следует идти. То, что предпочтительнее использовать возможности для "защиты" операций - это другая тема. Знание роли пользователя может быть правомерным, и в этом случае использование current_user_can вполне допустимо.

gmazzap gmazzap
18 мар. 2021 г. 20:59:27

@gmazzap тогда почему в документации current_user_can конкретно говорится: "Хотя проверка определенных ролей вместо возможностей частично поддерживается, эта практика не рекомендуется, так как может привести к ненадежным результатам." Похоже, что документация и ваш комментарий противоречат друг другу, хотя я понимаю, что вы имеете в виду. При этом $roles является публичным свойством объекта WP_User с версии 2.0.0. https://developer.wordpress.org/reference/functions/current_user_can/

sMyles sMyles
18 мар. 2021 г. 21:32:05

документация относится к тому факту, что, например, редактор обычно может редактировать записи. Поэтому вы можете быть склонны проверять, является ли пользователь редактором, чтобы разрешить редактирование записи. Это неправильно, потому что возможность могла быть отфильтрована так, что пользователь, несмотря на то, что он редактор, не должен редактировать запись. И наоборот, подписчику может быть разрешено редактировать записи или только конкретную запись. Проверка возможностей гарантирует, что эти ожидаемые результаты соблюдаются.

gmazzap gmazzap
31 мар. 2021 г. 09:46:13

Тем не менее, вопрос "Является ли этот пользователь редактором?" все еще может быть правомерным. Вы не должны задавать его для определения того, разрешено ли пользователю что-либо делать, но вы можете задать этот вопрос по какой-то другой причине. И если это так, то использование current_user_can с названием роли вполне подходит.

gmazzap gmazzap
31 мар. 2021 г. 09:47:39

Что касается ролей, да, это публичное свойство, на наличие которого можно рассчитывать, но current_user_can имеет фильтры, например, https://developer.wordpress.org/reference/hooks/user_has_cap/ или https://developer.wordpress.org/reference/hooks/map_meta_cap/. Если плагин или что-либо еще использует эти фильтры для изменения того, что возвращает current_user_can, то при прямой проверке свойства ролей вы пропустите эти фильтры, и таким образом снизите совместимость вашего кода с кодом других разработчиков.

gmazzap gmazzap
31 мар. 2021 г. 09:56:06
0
0

Для администратора

$current_user = wp_get_current_user();
if (!in_array('administrator', $current_user->roles)) {
   //выполнить что-то
}

Для редактора

$current_user = wp_get_current_user();
if (!in_array('editor', $current_user->roles)) {
      //выполнить что-то
}

Обратите внимание, что это работает только если вы хотите проверить роли текущего пользователя. Если вам нужно проверить роли для любого другого конкретного пользователя, вам необходимо использовать get_user_by (https://developer.wordpress.org/reference/functions/get_user_by/) или аналогичные методы для получения пользователя, которого вы хотите проверить

22 мая 2023 г. 10:09:37
4
-2 
<?php 
// Проверяем, имеет ли пользователь роль редактора
if( current_user_can('editor')) :
  echo "добро пожаловать";
// Проверяем, имеет ли пользователь роль участника
elseif( current_user_can('member')) :
  echo "добро пожаловать";
// Если нет прав доступа, показываем сообщение для входа
else :
 wp_die("<h2>Чтобы просмотреть эту страницу, вам необходимо сначала <a href='". wp_login_url(get_permalink()) ."' title='Войти'>войти в систему</a></h2>");
endif;
?>
29 сент. 2016 г. 20:26:21
Комментарии

Было бы здорово, если бы вы могли объяснить, как это помогает автору вопроса.

bravokeyl bravokeyl
29 сент. 2016 г. 20:32:54

Вы можете разрешить просмотр страницы только "редактору" или "участнику", разместив этот код непосредственно в generic-page.php

seowmx seowmx
29 сент. 2016 г. 20:36:28

Пожалуйста, не просто оставляйте код. Добавьте комментарии и объяснение, как это решает проблему спрашивающего.

kraftner kraftner
29 сент. 2016 г. 21:09:04

Значит, ваш ответ - это дублирование кода для каждой роли?

Julix Julix
22 окт. 2019 г. 20:20:47
2
-3

Правильные ответы на приведенное выше решение-вопрос по базовому программированию else:

if( current_user_can('administrator')) { 

<!-- только администратор увидит это сообщение -->

} else { 

        if( wp_get_current_user('editor')) {

<!-- только редактор, но не администратор увидит это сообщение -->

?>
<style type="text/css">#perhapsDIVremovalidentifier{
display:none;
</style>
}
<?php
} else {

<!-- пользователь не является ни редактором, ни администратором -->

}}

Кратко: Администратор найден, но если мы добавим редактора, то администратор также будет найден. Поэтому мы просто пропускаем администратора и идентифицируем только редактора.

Помните, что вы всегда должны использовать этот код для вызова вышеуказанного, чтобы минимизировать использование процессора:

if(is_user_logged_in()){}
3 июн. 2020 г. 22:18:43
Комментарии

Это именно то, что указано в вопросе, и что автор не хочет.

fuxia fuxia
4 июн. 2020 г. 00:15:03

Я добавил краткое описание, чтобы у нас не было недопонимания. Было сложно следовать остальным правилам, я полагаю.

Dealazer Dealazer
4 июн. 2020 г. 11:52:43
Похожие вопросы
Стандартный файл .htaccess для WordPress?
4
ответов
Как проверить, является ли запись пользовательским типом записи?
8
ответов
WAMP против XAMPP: плюсы и минусы для запуска локального тестового сервера
10
ответов
Не могу получить объект JSON в ответе на Ajax-запрос с wp_ajax
3
ответов
Как проверить, находится ли пользователь в определенной роли?
8
ответов
Сортировка по DESC, ASC в пользовательском WP_Query
4
ответов