WooCommerce我的账户自定义端点重定向策略

本教程详细阐述了如何为WooCommerce的“我的账户”页面及其自定义端点设置强大的重定向规则，以防止未登录用户访问。文章将介绍如何通过优化WordPress的`template_redirect`钩子，结合`is_user_logged_in()`和全局`$wp`对象，精确控制重定向逻辑，同时保留“忘记密码”等特定页面的可访问性，并提供登出后自动重定向的实现方法。

引言：保护WooCommerce我的账户自定义端点

在WooCommerce商店中，"我的账户"页面是用户管理订单、地址和个人信息的核心区域。为了提升用户体验和安全性，有时我们需要限制未登录用户访问此页面及其子页面（即自定义端点），并将其重定向到网站首页或其他指定页面。然而，简单的重定向规则可能无法完全覆盖所有自定义端点，导致未登录用户仍能通过直接访问URL来查看某些不应公开的内容。本教程将深入探讨如何构建一个健壮的重定向机制，确保所有受保护的端点都能正确地将未登录用户重定向。

理解WooCommerce自定义端点

在深入重定向逻辑之前，了解WooCommerce自定义端点的工作原理至关重要。自定义端点允许开发者在“我的账户”页面下创建新的选项卡和内容区域，例如“我的退货”、“我的收藏”等。创建这些端点通常涉及以下几个步骤：

1. 注册新的重写端点（Rewrite Endpoint）：使用add_rewrite_endpoint()函数向WordPress注册一个新的URL结构，例如my-account/my_returns。
2. 添加查询变量（Query Var）：通过woocommerce_get_query_vars过滤器将端点名称添加为WordPress的查询变量，使其能够被识别。
3. 添加到账户菜单：使用woocommerce_account_menu_items过滤器将新的端点添加到“我的账户”导航菜单中。
4. 添加内容：通过woocommerce_account_{endpoint_slug}_endpoint动作钩子，为该端点添加实际显示的内容。

例如，创建一个名为my_returns的自定义端点，其URL结构通常是你的域名/my-account/my_returns。

原始重定向逻辑及其不足

最初的重定向尝试可能只关注了主“我的账户”页面，代码示例如下：

add_action( 'template_redirect', 'wish_custom_redirect' );

function wish_custom_redirect() {
  global $wp;

  if (
        !is_user_logged_in()
        &&
        ('my-account' == $wp->request)
        &&
        ('lost-password' != $wp->request)
     )
  {
    wp_redirect( home_url() );
    exit;
  }
}

这段代码的逻辑是：如果用户未登录（!is_user_logged_in()）并且当前请求是my-account页面（'my-account' == $wp-youjiankuohaophpcnrequest）并且不是lost-password页面，则重定向到首页。

问题所在： 当用户尝试访问自定义端点，例如my-account/my_returns时，$wp->request的值将是my-account/my_returns，而不是简单的my-account。因此，('my-account' == $wp->request)这个条件将为false，导致整个if语句的条件不满足，重定向就不会触发。

尝试将自定义端点直接添加到&&条件中，例如&& ('my-account/my_returns' == $wp->request)，也是不正确的。因为$wp->request在一个请求中只能有一个值，它不可能是my-account同时也是my-account/my_returns。

增强型重定向方案

要正确地处理自定义端点，我们需要使用逻辑或（||）运算符，将所有需要重定向的页面路径包含在一个条件组中。这样，只要用户未登录，并且请求路径是“我的账户”主页或任何一个自定义端点，重定向就会发生。

MarsX

AI驱动快速构建App，低代码无代码开发，改变软件开发的游戏规则

159

查看详情

核心代码实现

以下是优化后的重定向代码：

add_action('template_redirect', 'wish_custom_redirect_extended');

function wish_custom_redirect_extended()
{
    global $wp; // 使用全局 $wp 对象获取当前请求路径

    // 定义一个数组，包含所有需要重定向的端点路径
    $protected_endpoints = array(
        'my-account',           // 我的账户主页
        'my-account/my_returns', // 示例自定义端点
        // 如果有更多自定义端点，请在此处添加，例如：
        // 'my-account/another-custom-endpoint',
        // 'my-account/my_wishlist',
    );

    // 检查当前请求是否在受保护的端点列表中
    $is_protected_endpoint = in_array($wp->request, $protected_endpoints);

    // 组合重定向条件
    if (
        !is_user_logged_in()           // 条件1：用户未登录
        &&
        $is_protected_endpoint         // 条件2：当前请求是受保护的端点之一
        &&
        ('lost-password' != $wp->request) // 条件3：当前请求不是“忘记密码”页面
    ) {
        // 执行安全重定向到网站主页
        wp_safe_redirect(site_url());
        exit; // 终止脚本执行
    }
}

代码解析：

• global $wp;：$wp是一个全局对象，包含了当前WordPress请求的各种信息，其中$wp->request存储了当前URL路径（不包含域名和查询参数）。
• $protected_endpoints数组：我们定义了一个数组来存储所有需要重定向的端点路径。这样做的好处是代码更清晰，易于维护和扩展。
• in_array($wp->request, $protected_endpoints)：这个函数检查当前的请求路径（$wp->request）是否存在于我们定义的$protected_endpoints数组中。如果存在，则$is_protected_endpoint为true。
• !is_user_logged_in()：这是判断用户是否登录的标准WordPress函数。
• ('lost-password' != $wp->request)：这一条件确保“忘记密码”页面即使在未登录状态下也能正常访问，因为它是用户恢复账户的关键入口。
• wp_safe_redirect(site_url());：这是一个安全的重定向函数，它会验证目标URL的安全性。site_url()获取WordPress站点的根URL。exit;用于在重定向后立即终止脚本执行，防止进一步的代码运行。

扩展到多个自定义端点

要添加更多的自定义端点到重定向规则中，只需修改$protected_endpoints数组：

// ... (函数开头部分不变)
    $protected_endpoints = array(
        'my-account',
        'my-account/my_returns',
        'my-account/my_wishlist', // 新增的自定义端点
        'my-account/my_subscriptions', // 另一个新增的自定义端点
    );
// ... (函数其余部分不变)

通过这种方式，无论有多少自定义端点，都可以轻松地将其纳入重定向规则中。

登出后自动重定向

除了防止未登录用户访问，我们通常也希望用户在登出后自动重定向到网站首页，而不是停留在“我的账户”页面或其任何子页面。这可以通过wp_logout动作钩子实现：

add_action('wp_logout','auto_redirect_after_logout');

function auto_redirect_after_logout(){
  wp_safe_redirect( home_url() ); // 使用 wp_safe_redirect 更安全
  exit();
}

这段代码会在用户完成登出操作后立即触发，并将其重定向到网站的首页。

重要注意事项

1. 保存固定链接（Permalinks）：在创建或修改自定义端点后，务必前往WordPress后台的“设置” -> “固定链接”，然后点击“保存更改”按钮。即使没有做任何修改，点击保存也能刷新重写规则，这对于新的端点生效至关重要，否则可能会出现404错误。
2. 代码放置位置：所有上述代码应放置在主题的functions.php文件或自定义插件中。推荐使用自定义插件，以避免主题更新时代码丢失。
3. 彻底测试：在部署到生产环境之前，务务必在开发环境中彻底测试重定向功能。尝试以未登录用户身份访问“我的账户”主页、各个自定义端点以及“忘记密码”页面，确保所有行为符合预期。
4. wp_safe_redirect vs wp_redirect：在大多数情况下，建议使用wp_safe_redirect()代替wp_redirect()，因为它会进行额外的安全检查，防止开放重定向漏洞。

总结

通过本教程中介绍的增强型重定向策略，您可以有效地保护WooCommerce“我的账户”页面及其所有自定义端点，确保只有登录用户才能访问这些敏感区域。结合登出后的自动重定向，可以显著提升网站的用户体验和安全性。记住，清晰的逻辑、模块化的代码以及彻底的测试是实现可靠重定向的关键。

以上就是WooCommerce我的账户自定义端点重定向策略的详细内容，更多请关注php中文网其它相关文章！