本教程详细阐述了如何为WooCommerce的“我的账户”页面及其自定义端点设置强大的重定向规则,以防止未登录用户访问。文章将介绍如何通过优化WordPress的`template_redirect`钩子,结合`is_user_logged_in()`和全局`$wp`对象,精确控制重定向逻辑,同时保留“忘记密码”等特定页面的可访问性,并提供登出后自动重定向的实现方法。
引言:保护WooCommerce我的账户自定义端点
在WooCommerce商店中,"我的账户"页面是用户管理订单、地址和个人信息的核心区域。为了提升用户体验和安全性,有时我们需要限制未登录用户访问此页面及其子页面(即自定义端点),并将其重定向到网站首页或其他指定页面。然而,简单的重定向规则可能无法完全覆盖所有自定义端点,导致未登录用户仍能通过直接访问URL来查看某些不应公开的内容。本教程将深入探讨如何构建一个健壮的重定向机制,确保所有受保护的端点都能正确地将未登录用户重定向。
理解WooCommerce自定义端点
在深入重定向逻辑之前,了解WooCommerce自定义端点的工作原理至关重要。自定义端点允许开发者在“我的账户”页面下创建新的选项卡和内容区域,例如“我的退货”、“我的收藏”等。创建这些端点通常涉及以下几个步骤:
- 注册新的重写端点(Rewrite Endpoint):使用add_rewrite_endpoint()函数向WordPress注册一个新的URL结构,例如my-account/my_returns。
- 添加查询变量(Query Var):通过woocommerce_get_query_vars过滤器将端点名称添加为WordPress的查询变量,使其能够被识别。
- 添加到账户菜单:使用woocommerce_account_menu_items过滤器将新的端点添加到“我的账户”导航菜单中。
- 添加内容:通过woocommerce_account_{endpoint_slug}_endpoint动作钩子,为该端点添加实际显示的内容。
例如,创建一个名为my_returns的自定义端点,其URL结构通常是你的域名/my-account/my_returns。
原始重定向逻辑及其不足
最初的重定向尝试可能只关注了主“我的账户”页面,代码示例如下:
add_action( 'template_redirect', 'wish_custom_redirect' );
function wish_custom_redirect() {
global $wp;
if (
!is_user_logged_in()
&&
('my-account' == $wp->request)
&&
('lost-password' != $wp->request)
)
{
wp_redirect( home_url() );
exit;
}
}这段代码的逻辑是:如果用户未登录(!is_user_logged_in())并且当前请求是my-account页面('my-account' == $wp->request)并且不是lost-password页面,则重定向到首页。
问题所在: 当用户尝试访问自定义端点,例如my-account/my_returns时,$wp->request的值将是my-account/my_returns,而不是简单的my-account。因此,('my-account' == $wp->request)这个条件将为false,导致整个if语句的条件不满足,重定向就不会触发。
尝试将自定义端点直接添加到&&条件中,例如&& ('my-account/my_returns' == $wp->request),也是不正确的。因为$wp->request在一个请求中只能有一个值,它不可能是my-account同时也是my-account/my_returns。
增强型重定向方案
要正确地处理自定义端点,我们需要使用逻辑或(||)运算符,将所有需要重定向的页面路径包含在一个条件组中。这样,只要用户未登录,并且请求路径是“我的账户”主页或任何一个自定义端点,重定向就会发生。
核心代码实现
以下是优化后的重定向代码:
add_action('template_redirect', 'wish_custom_redirect_extended');
function wish_custom_redirect_extended()
{
global $wp; // 使用全局 $wp 对象获取当前请求路径
// 定义一个数组,包含所有需要重定向的端点路径
$protected_endpoints = array(
'my-account', // 我的账户主页
'my-account/my_returns', // 示例自定义端点
// 如果有更多自定义端点,请在此处添加,例如:
// 'my-account/another-custom-endpoint',
// 'my-account/my_wishlist',
);
// 检查当前请求是否在受保护的端点列表中
$is_protected_endpoint = in_array($wp->request, $protected_endpoints);
// 组合重定向条件
if (
!is_user_logged_in() // 条件1:用户未登录
&&
$is_protected_endpoint // 条件2:当前请求是受保护的端点之一
&&
('lost-password' != $wp->request) // 条件3:当前请求不是“忘记密码”页面
) {
// 执行安全重定向到网站主页
wp_safe_redirect(site_url());
exit; // 终止脚本执行
}
}代码解析:
- global $wp;:$wp是一个全局对象,包含了当前WordPress请求的各种信息,其中$wp->request存储了当前URL路径(不包含域名和查询参数)。
- $protected_endpoints数组:我们定义了一个数组来存储所有需要重定向的端点路径。这样做的好处是代码更清晰,易于维护和扩展。
- in_array($wp->request, $protected_endpoints):这个函数检查当前的请求路径($wp->request)是否存在于我们定义的$protected_endpoints数组中。如果存在,则$is_protected_endpoint为true。
- !is_user_logged_in():这是判断用户是否登录的标准WordPress函数。
- ('lost-password' != $wp->request):这一条件确保“忘记密码”页面即使在未登录状态下也能正常访问,因为它是用户恢复账户的关键入口。
- wp_safe_redirect(site_url());:这是一个安全的重定向函数,它会验证目标URL的安全性。site_url()获取WordPress站点的根URL。exit;用于在重定向后立即终止脚本执行,防止进一步的代码运行。
扩展到多个自定义端点
要添加更多的自定义端点到重定向规则中,只需修改$protected_endpoints数组:
// ... (函数开头部分不变)
$protected_endpoints = array(
'my-account',
'my-account/my_returns',
'my-account/my_wishlist', // 新增的自定义端点
'my-account/my_subscriptions', // 另一个新增的自定义端点
);
// ... (函数其余部分不变)通过这种方式,无论有多少自定义端点,都可以轻松地将其纳入重定向规则中。
登出后自动重定向
除了防止未登录用户访问,我们通常也希望用户在登出后自动重定向到网站首页,而不是停留在“我的账户”页面或其任何子页面。这可以通过wp_logout动作钩子实现:
add_action('wp_logout','auto_redirect_after_logout');
function auto_redirect_after_logout(){
wp_safe_redirect( home_url() ); // 使用 wp_safe_redirect 更安全
exit();
}这段代码会在用户完成登出操作后立即触发,并将其重定向到网站的首页。
重要注意事项
- 保存固定链接(Permalinks):在创建或修改自定义端点后,务必前往WordPress后台的“设置” -> “固定链接”,然后点击“保存更改”按钮。即使没有做任何修改,点击保存也能刷新重写规则,这对于新的端点生效至关重要,否则可能会出现404错误。
- 代码放置位置:所有上述代码应放置在主题的functions.php文件或自定义插件中。推荐使用自定义插件,以避免主题更新时代码丢失。
- 彻底测试:在部署到生产环境之前,务务必在开发环境中彻底测试重定向功能。尝试以未登录用户身份访问“我的账户”主页、各个自定义端点以及“忘记密码”页面,确保所有行为符合预期。
- wp_safe_redirect vs wp_redirect:在大多数情况下,建议使用wp_safe_redirect()代替wp_redirect(),因为它会进行额外的安全检查,防止开放重定向漏洞。
总结
通过本教程中介绍的增强型重定向策略,您可以有效地保护WooCommerce“我的账户”页面及其所有自定义端点,确保只有登录用户才能访问这些敏感区域。结合登出后的自动重定向,可以显著提升网站的用户体验和安全性。记住,清晰的逻辑、模块化的代码以及彻底的测试是实现可靠重定向的关键。
