优化WordPress媒体库访问权限：允许普通用户查看自己的媒体与管理员媒体

本文详细介绍了如何修改wordpress媒体库的默认行为，使非管理员用户在查看媒体文件时，不仅能看到自己上传的图片，也能同时浏览管理员上传的所有媒体文件，从而实现更灵活的媒体资源共享与管理。文章通过`pre_get_posts`动作钩子提供了一个健壮的解决方案，并解释了其实现细节及注意事项。

在WordPress中，默认情况下，媒体库的访问权限设计得较为严格，普通用户（非管理员）通常只能看到自己上传的媒体文件。然而，在某些场景下，我们可能需要允许这些用户在浏览媒体库时，除了自己的文件，还能看到网站管理员上传的媒体资源，以方便内容创作或资源共享。本文将提供一种专业且高效的方法来实现这一功能。

默认行为与常见问题

WordPress通过对媒体查询进行过滤来限制用户可见的媒体文件。常见的做法是使用posts_where过滤器来修改SQL查询的WHERE子句，从而限制查询结果。

例如，以下代码片段展示了如何仅允许当前用户查看自己的媒体文件：

// Page media list only store images
add_filter( 'posts_where', 'attachments_wpquery_where' );
function attachments_wpquery_where( $where ) {
    global $current_user;

    if ( is_user_logged_in() && !current_user_can( 'administrator' ) ) {
        if( isset( $_POST['action'] ) && $_POST['action'] == 'query-attachments' ) {
            $where .= ' AND post_author='.$current_user->data->ID;
        }
    }
    return $where;
}

这种方法虽然能实现限制，但当我们需要查询多个作者（如当前用户和管理员）的媒体时，直接修改posts_where可能会变得复杂，因为它需要手动拼接复杂的SQL条件。更推荐的做法是利用WordPress查询对象（WP_Query）提供的参数。

推荐解决方案：使用 pre_get_posts 动作钩子

pre_get_posts 动作钩子在主查询对象（WP_Query）被执行之前触发，允许我们在查询执行前修改其参数。这是一个非常强大且灵活的钩子，适用于调整各种列表页面的查询行为，包括媒体库。

以下是实现非管理员用户查看自己和管理员媒体的完整代码：

/**
 * 允许非管理员用户查看自己的媒体文件和管理员的媒体文件
 */
add_action( 'pre_get_posts', 'users_own_attachments_and_admin_media' );

function users_own_attachments_and_admin_media( $wp_query_obj ) {
    global $current_user, $pagenow;

    // 1. 如果当前用户是管理员，则不进行任何限制，管理员应能看到所有媒体
    if ( current_user_can( 'administrator' ) ) {
        return;
    }

    // 2. 确保当前用户是有效的WP_User对象
    if ( !is_a( $current_user, 'WP_User' ) ) {
        return;
    }

    // 3. 仅在特定页面和AJAX请求中应用此逻辑
    // 'upload.php' 是媒体库页面
    // 'admin-ajax.php' 且 action 为 'query-attachments' 是媒体选择器模态框的AJAX请求
    if ( ( 'upload.php' != $pagenow ) && 
         ( 'admin-ajax.php' != $pagenow || ( isset($_REQUEST['action']) && $_REQUEST['action'] != 'query-attachments' ) ) ) {
        return;
    }

    // 4. 设置查询参数：包含当前用户ID和管理员用户ID
    // 假设管理员的用户ID为1。如果你的管理员用户ID不是1，请修改此处。
    $author_ids_to_include = array( $current_user->ID, 1 ); 
    $wp_query_obj->set( 'author__in', $author_ids_to_include );

    return;
}

代码解析

1. add_action( 'pre_get_posts', 'users_own_attachments_and_admin_media' );

   • 将我们的自定义函数挂载到 pre_get_posts 动作钩子上。这意味着在WordPress执行任何查询之前，我们的函数会被调用。

2. global $current_user, $pagenow;

   

   千帆大模型平台

   面向企业开发者的一站式大模型开发及服务运行平台

   35

   查看详情
   • 引入全局变量 $current_user 来获取当前登录用户的信息。
   • 引入全局变量 $pagenow 来获取当前管理页面的文件名，这对于判断代码执行上下文至关重要。

3. if ( current_user_can( 'administrator' ) ) { return; }

   • 这是一个非常重要的条件判断。如果当前用户是管理员，则直接返回，不执行后续的媒体过滤逻辑。管理员应该始终能够查看所有媒体文件，不受此限制。

4. if ( !is_a( $current_user, 'WP_User' ) ) { return; }

   • 此检查确保 $current_user 变量确实是一个 WP_User 对象，避免在用户未登录或用户对象无效时出现错误。

5. 上下文判断：if ( ( 'upload.php' != $pagenow ) && ... ) { return; }

   • 此段代码确保我们的逻辑只在需要时执行，避免影响其他不相关的查询。
   • 'upload.php' == $pagenow: 这是WordPress媒体库页面的文件名。
   • 'admin-ajax.php' == $pagenow && $_REQUEST['action'] == 'query-attachments': 这是当用户在文章/页面编辑器中打开媒体选择器模态框时，WordPress通过AJAX请求加载媒体列表的场景。

6. $author_ids_to_include = array( $current_user->ID, 1 );

   • 这是核心逻辑。我们创建一个包含两个用户ID的数组：
     • $current_user->ID: 当前登录用户的ID。
     • 1: 默认情况下，WordPress中第一个注册的用户（通常是网站创建者）的ID为1，这个用户通常是管理员。请注意，如果你的网站管理员用户ID不是1，你需要将其替换为正确的管理员用户ID。 你可以在WordPress后台的用户列表中，鼠标悬停在管理员用户名上，查看URL中的user_id=参数来找到其ID。

7. $wp_query_obj->set( 'author__in', $author_ids_to_include );

   • 通过 set() 方法，我们告诉 WP_Query 对象，只查询作者ID在 $author_ids_to_include 数组中的媒体文件。author__in 是 WP_Query 的一个参数，用于指定查询结果应包含的作者ID列表。

如何部署代码

将上述代码添加到你的WordPress网站的以下位置之一：

• 主题的 functions.php 文件： 这是最常见的方法。将代码粘贴到文件末尾即可。
• 自定义插件： 如果你希望此功能独立于主题，或者在多个网站上使用，创建一个简单的自定义插件是更好的选择。

注意事项与最佳实践

• 管理员用户ID： 如前所述，请务必确认你的管理员用户ID是否为 1。如果不是，请修改代码中的 1 为正确的ID。
• 权限管理： 此方案为非管理员用户提供了更广的媒体访问权限。在部署前，请确保这符合你的网站安全策略和用户角色设计。
• 性能影响： 对于拥有大量媒体文件和大量用户的网站，修改查询可能会对性能产生轻微影响。在生产环境部署前，建议在测试环境中进行充分测试。
• 可扩展性： 如果需要允许查看多个特定用户的媒体，可以修改 $author_ids_to_include 数组，加入更多用户ID。
• 代码注释： 保持代码良好的注释习惯，以便未来维护和理解。

总结

通过利用 pre_get_posts 动作钩子，我们可以安全且高效地修改WordPress媒体库的查询行为，实现让非管理员用户在查看自己媒体的同时，也能访问管理员上传的媒体文件。这种方法比直接修改SQL WHERE 子句更为优雅和健壮，是WordPress开发中处理复杂查询需求的推荐实践。在实施过程中，请务必关注管理员用户ID的准确性以及潜在的权限和性能影响。

以上就是优化WordPress媒体库访问权限：允许普通用户查看自己的媒体与管理员媒体的详细内容，更多请关注php中文网其它相关文章！