手册:用户权限
用户权限是可分配给不同用户组的权限(例如編輯頁面和封禁用戶的能力)。 MediaWiki提供默认的用户权限和用户组,但您可以对其进行修改。 此页面将讲解默认的权限和用户组,以及怎样修改。
有關如何在群組中加入和移除一個Wiki用戶的資訊,請參見Help:用户权限和用户组和Manual:在MediaWiki中设置用户组。
更改用户组权限
MediaWiki安装程序会为默认用户组分配一些权限(见下文)。 你可以通过使用语法编辑$wgGroupPermissions中的LocalSettings.php中的数组来更改默认的权限。
$wgGroupPermissions['group']['right'] = true /* 或者为 false */;
在默认安装下,
$wgGroupPermissions将在includes/DefaultSettings.php中被设置,而不是在LocalSettings.php中。 你需要在后者中添加内容。如果某个用户存在于多个用户组,则他将获取所在组的所有权限。
包括匿名用户在内的所有用户都在'*'用户组中,所有注册用户都在'user'用户组中。
除了默认用户组之外,您还可以用同样的方式创建新用户组。
示例
这个示例将禁止所有用户访问除$wgWhitelistRead外的页面,但是仅对于注册用户开放。
$wgGroupPermissions['*']['read'] = false;
# 下面一行不是必须的,因为它已被设置与默认值中。对于'*'设置的禁止权限不会影响到设置为启用权限的用户组。
$wgGroupPermissions['user']['read'] = true;
下面的例子将禁止所有用户编辑页面,然后仅允许已确认电子邮件地址的用户编辑。
# 禁止所有用户编辑。
$wgGroupPermissions['*']['edit'] = false;
# 禁止注册用户编辑(默认情况下'user'用户组将被允许编辑,即便'*'被设置为禁止)。
$wgGroupPermissions['user']['edit'] = false;
# 将已确认电子邮箱的用户加入用户组中。
$wgAutopromote['emailconfirmed'] = APCOND_EMAILCONFIRMED;
# 在用户列表中隐藏该组。
$wgImplicitGroups[] = 'emailconfirmed';
# 最后,赋予该用户组编辑权限。
$wgGroupPermissions['emailconfirmed']['edit'] = true;
创建用户组并分配权限
您可以通过定义新用户组的权限$wgGroupPermissions[ 'group-name' ]来创建新的用户组,此处group-name为用户组的名称。
除了分配权限,您应该创建这三个wiki页面与适合的内容:
- MediaWiki:Group-<group-name> (内容为:
用户组的名称) - MediaWiki:Group-<group-name>-member (内容为:
用户组成员的名称) - MediaWiki:Grouppage-<group-name> (内容为:
用户组页面的名称)
在默认情况下,行政员可以将用户从任意用户组中添加或移除。 然而,如果您使用手册:$wgAddGroups和手册:$wgRemoveGroups,您或许也应该修改它们。
示例
下面的例子将会随意地添加一个名为“projectmember”的用户组,且该用户组能够封禁用户、删除页面以及默认情况下隐藏更改日志。
$wgGroupPermissions['projectmember']['bot'] = true;
$wgGroupPermissions['projectmember']['block'] = true;
$wgGroupPermissions['projectmember']['delete'] = true;
用户组名称不可包含空格,因此应使用
'random-group'或'random_group'代替'random group'。 此外,建議建立的群組名稱僅使用小寫字母。在本例中,您或许应该创建这些页面:
- MediaWiki:Group-projectmember (内容为:
Project members) - MediaWiki:Group-projectmember-member (内容为:
Project member) - MediaWiki:Grouppage-projectmember (内容为:
Project:Project Members)
这确保了该组在界面中将被称为“Project members”,该组成员被称为“Project member”,该组的概述的页面为Project:Project members。
下面的示例默认情况下禁止写入(页面编辑和创建),创建一个名为“writer”的组,并授予其写访问权限。用户可以通过Special:UserRights手动添加到此组:
$wgGroupPermissions['*']['edit'] = false;
$wgGroupPermissions['*']['createpage'] = false;
$wgGroupPermissions['user']['edit'] = false;
$wgGroupPermissions['user']['createpage'] = false;
$wgGroupPermissions['writer']['edit'] = true;
$wgGroupPermissions['writer']['createpage'] = true;
在本例中,您或许也应该创建这些页面:
- MediaWiki:Group-writer (内容为:
Writers) - MediaWiki:Group-writer-member (内容为:
Writer) - MediaWiki:Grouppage-writer (内容为:
Project:Write)
移除预定义用户组
MediaWiki安装完成后即用了一些预设的用户组。 大多数情况下这些组可以通过取消设置相应的数组来删除,其中包括$wgGroupPermissions[ '<group-name>' ]。 详细内容见下。
示例
这个例子将会彻底取消行政员这一用户组。
需要确保所有这6个变量未设置于任何希望从Special:ListGroupRights列举项中移除的用户组;然而仅仅取消设置$wgGroupPermissions将足以从Special:UserRights移除。
此代码应放在任一個require_once行之后,这些行添加扩展,例如扩展:AntiSpoof,其中包含默认情况下赋予行政员组权限的代码。
unset( $wgGroupPermissions['bureaucrat'] );
unset( $wgRevokePermissions['bureaucrat'] );
unset( $wgAddGroups['bureaucrat'] );
unset( $wgRemoveGroups['bureaucrat'] );
unset( $wgGroupsAddToSelf['bureaucrat'] );
unset( $wgGroupsRemoveFromSelf['bureaucrat'] );
在某些扩展(例如Flow、Semantic MediaWiki等)中,在扩展注册或注册功能期间添加权限。在这种情况下,可能需要在LocalSettings.php中使用注册功能来删除一些预定义的用户组:
$wgExtensionFunctions[] = function() use ( &$wgGroupPermissions ) {
unset( $wgGroupPermissions['oversight'] );
unset( $wgGroupPermissions['flow-bot'] );
};
关于“user”用户组的注意事项
使用上述机制,可以移除管理员、行政员和机器人用户组,如果被使用通常可以通过用户权限系统分配。
但是,目前无法移除user用户组。
此组不是通过通常的权限系统分配的。
相反,每个登录用户都会自动成为该组的成员。
这是MediaWiki中的硬编码,目前不能轻易更改。
权限列表
下列的用户权限在MediaWiki的最新版可用。 如果您使用的是旧版本,请查看您的维基上的Special:Version并查看您使用的版本是否包含在“版本”列中。
| 权限 | 描述 | 默认拥有此权限的用户组 | 版本 | ||
|---|---|---|---|---|---|
| 閱讀 | |||||
| read | 阅读页面 - 当设置为false时,可通过$wgWhitelistRead访问特定页面
|
*, user | 1.5+ | ||
| 编辑 | |||||
| applychangetags | 将标签与自己的更改一起应用 - 需要edit权限
|
user | 1.25+ | ||
| autocreateaccount | 通过外部用户账号自动登录 - 受较大限制的“createaccount”版本 | — | 1.27+ | ||
| createaccount | 新建用户账号 - register / registration | *, sysop | 1.5+ | ||
| createpage | 创建页面(非讨论页) - 需要edit权限
|
*, user | 1.6+ | ||
| createtalk | 创建讨论页面 - 需要edit权限
|
*, user | 1.6+ | ||
| delete-redirect | 删除单个版本的重定向 (注意,如果该组已经拥有delete权限,则不需要这个权限)
|
— | 1.36+ | ||
| edit | 编辑页面 | *, user | 1.5+ | ||
| editsemiprotected | 编辑保护级别为“Allow only autoconfirmed users”的页面 - 无级联保护 - requires the edit right | autoconfirmed, bot, sysop | 1.22+ | ||
| editprotected | 编辑保护级别为“Allow only administrators”的页面 - 无级联保护 - requires the edit right | sysop | 1.13+ | ||
| minoredit | 标记编辑为小编辑 - 需要edit权限
|
user | 1.6+ | ||
| move | 移动页面 - 需要edit权限
|
user, sysop | 1.5+ | ||
| move-categorypages | 移动分类页面 - 需要move权限
|
user, sysop | 1.25+ | ||
| move-rootuserpages | 移动根用户页面 - 需要move权限
|
user, sysop | 1.14+ | ||
| move-subpages | 移动页面及其子页面 - 需要move权限
|
user, sysop | 1.13+ | ||
| movefile | 移动文件 - 需要move权限且$wgAllowImageMoving应为真
|
user, sysop | 1.14+ | ||
| reupload | 覆盖现存文件 - 需要upload权限
|
user, sysop | 1.6+ | ||
| reupload-own | 覆盖自己上传的文件 - 需要upload权限(注意如果用户组已拥有reupload权限的话,就不需要这个)
|
— | 1.11+ | ||
| reupload-shared | 本地覆盖共享文件库的文件 - (若一个已经存在)用本地文件覆盖 (需要upload权限)
|
user, sysop | 1.6+ | ||
| sendemail | 发送电子邮件给其他用户 | user | 1.16+ | ||
| upload | 上传文件 - 需要edit权限及$wgEnableUploads設定為true
|
user, sysop | 1.5+ | ||
| upload_by_url | 从URL上传文件 - 需要upload权限 (在1.20之前,它被賦予給管理員)
|
— | 1.8+ | ||
| 管理 | |||||
| bigdelete | 删除有大型历史的页面 (由$wgDeleteRevisionsLimit定義) - 需要delete 权限 | sysop | 1.12+ | ||
| block | 阻止或取消阻止其他用户编辑 - 封禁选项包括禁止编辑和注册新帐户,以及自动封禁同一IP地址上的其他用户。 | sysop | 1.5+ | ||
| blockemail | 阻止或取消阻止用户发送电子邮件 - 允许在封禁时阻止使用Special:Emailuser界面--需要「block」權限 | sysop | 1.11+ | ||
| browsearchive | 搜索已被删除的页面 - 通过Special:Undelete - 需要deletedhistory 权限 | sysop | 1.13+ | ||
| changetags | 在个别修订和日志记录中添加并移除任意标签 - 目前未被扩展使用 | user | 1.25+ | ||
| delete | 删除页面 1.5–1.11: 允许删除或取消删除页面。 1.12+: 允许删除页面。 对于取消删除,目前拥有'undelete'权限,参见下方 |
sysop | 1.5+ | ||
| deletedhistory | 查看被删除的历史项目,不含相关文本 | sysop | 1.6+ | ||
| deletedtext | 查看已被删除的文本及已删除版本间的差异 | sysop | |||
| deletelogentry | 删除和恢复特定的日志项目 - 允许删除/反删除特定日志条目的信息(操作文本,摘要,进行操作的用户),需要deleterevision權限 | suppress | 1.20+ | ||
| deleterevision | 删除和恢复页面的特定版本 - 允许删除/反删除特定修订的信息(修订文本,编辑摘要,编辑用户) 在1.20版本中拆分为删除修订版本和删除日志记录 | suppress | 1.6+ | ||
| editcontentmodel | 编辑页面的内容模型 - 需要edit 权限 | user | 1.23.7+ | ||
| editinterface | 编辑用户界面 - 包含界面信息。 现在要编辑全站的CSS/JSON/JS,需要隔离权限,详细见下文。 - 需要edit 权限 | sysop, interface-admin | 1.5+ | ||
| editmyoptions | 编辑自己的参数设置 | * | 1.22+ | ||
| editmyprivateinfo | 编辑自己的私人数据(如电子邮件地址、真实姓名)和申请重置密码邮件 - “更改密码”也被隐藏了,但没有隐藏其他更改密码的方式 - requires the viewmyprivateinfo right
|
* | 1.22+ | ||
| editmyusercss | 编辑自己的用户CSS文件 - 在1.31之前,它被賦予給所有人(即「*」)(注意如果用戶組已經有editusercss權限則不需要) - 需要edit 权限 | user | 1.22+ | ||
| editmyuserjs | 编辑自己的用户JavaScript文件 - 在1.31之前,它被賦予給所有人(即「*」)(注意如果用戶組已經有edituserjs權限則不需要) - 需要edit 权限 | user | 1.22+ | ||
| editmyuserjsredirect | 编辑自己的JavaScript重定向文件 (注意,如果该组已经拥有edituserjs权限,则不需要这个权限) - 需要edit 权限 | — | 1.34+ | ||
| editmyuserjson | 编辑自己的用户JSON文件 (注意如果用戶組已經有edituserjson權限則不需要) - 需要edit 权限 | user | 1.31+ | ||
| editmywatchlist | 编辑自己的监视列表(请留意即使缺少此权限,某些操作仍将添加页面至监视列表) - requires the viewmywatchlist right
|
* | 1.22+ | ||
| editsitecss | 编辑全站CSS - 需要editinterface 权限 | interface-admin | 1.32+ | ||
| editsitejs | 编辑全站JavaScript - 需要editinterface 权限 | interface-admin | 1.32+ | ||
| editsitejson | 编辑全站JSON - 需要editinterface 权限 | sysop, interface-admin | 1.32+ | ||
| editusercss | 编辑其他用户的CSS文件 - 需要edit 权限 | interface-admin | 1.16+ | ||
| edituserjs | 编辑其他用户的JavaScript文件 - 需要edit 权限 | interface-admin | 1.16+ | ||
| edituserjson | 编辑其他用户的JSON文件 - 需要edit 权限 | sysop, interface-admin | 1.31+ | ||
| hideuser | 封禁或解封、隐藏或取消隐藏用户名 - 默认仅能对于不多于1000次编辑的用户可用。 - 需要block 权限
使用 |
suppress | 1.10+ | ||
| markbotedits | 标记回退编辑为机器人编辑 - 参见Manual:Rollback - 需要rollback 权限 | sysop | 1.12+ | ||
| mergehistory | 合并页面历史 - 需要edit 权限 | sysop | 1.12+ | ||
| pagelang | 更改页面语言 - $wgPageLanguageUseDB 必须为true | — | 1.24+ | ||
| patrol | 标记他人的编辑为已巡查 - $wgUseRCPatrol 必须为true | sysop | 1.5+ | ||
| patrolmarks | 查看最近更改的巡查标记 | — | 1.16+ | ||
| protect | 更改保护设定和编辑受连锁保护的页面 - 需要edit 权限 | sysop | 1.5+ | ||
| rollback | 快速回退最后一位用户对某一页面的编辑 - 需要edit 权限 | sysop | 1.5+ | ||
| suppressionlog | 查看非公开日志 | suppress | 1.6+ | ||
| suppressrevision | 查看、隐藏与取消隐藏来自任何用户对页面做出的特定版本修订 - 在版本1.13之前,被命名为hiderevision - 需要deleterevision 权限 | suppress | 1.6+ | ||
| unblockself | 自我解封 - 若没有此权限,管理员在被其他管理员封禁时管理员不能自我解封 | sysop | 1.17+ | ||
| undelete | 还原页面 - 需要deletedhistory 权限 | sysop | 1.12+ | ||
| userrights | 编辑所有用户权限 - 允许向任何用户分配或移除所有用户组。 *使用$wgAddGroups和$wgRemoveGroups,您可以设置添加/删除某些组而不是全部的可能性 |
bureaucrat | 1.5+ | ||
| userrights-interwiki | 编辑其他wiki上用户的用户权限 - requires the userrights right | — | 1.12+ | ||
| viewmyprivateinfo | 查看自己的私人数据(如电子邮件地址、真实姓名) | * | 1.22+ | ||
| viewmywatchlist | 查看自己的监视列表 | * | 1.22+ | ||
| viewsuppressed | 查看被隐藏的任何用户的修订 - 即一个比「suppressrevision」更小的权限(注意如果用戶組已經有suppressrevision權限則不需要) | suppress | 1.24+ | ||
| 管理 | |||||
| autopatrol | 使自己的编辑自动标记为已巡查 - $wgUseRCPatrol 必须为true | bot, sysop | 1.9+ | ||
| deletechangetags | 从数据库删除标签 - 目前未被扩展使用 | sysop | 1.28+ | ||
| import | 从其他wiki导入页面 - “跨维基” - 需要edit 权限 | sysop | 1.5+ | ||
| importupload | 通过上传文件导入页面 - 这个权限在1.5版本及之前被称为“importraw” - 需要edit 权限 | sysop | 1.5+ | ||
| managechangetags | 创建和(取消)激活标签 - 目前未被扩展使用 | sysop | 1.25+ | ||
| siteadmin | 锁定和解锁数据库 - 阻止与网站的所有交互(除了访问)。 (默认情况下不可用) | — | 1.5+ | ||
| unwatchedpages | 查看未受监视的页面列表 - 列出没有用户监视的页面 | sysop | 1.6+ | ||
| 技术 | |||||
| apihighlimits | 在API查询中使用更高的上限 | bot, sysop | 1.12+ | ||
| autoconfirmed | 不受基于IP的速率限制 - 使用'autoconfirmed'组,有关详细信息,请参阅下表 (note that this is not needed if the group already has the noratelimit right) | autoconfirmed, bot, sysop | 1.6+ | ||
| bot | 被视为自动化过程 - 可随意地查看 | bot | 1.5+ | ||
| ipblock-exempt | 绕过IP封禁、自动封禁和段封禁 | sysop | 1.9+ | ||
| nominornewtalk | 不使小编辑在讨论页面引发新消息提示 - 需要minoredit 权限 | bot | 1.9+ | ||
| noratelimit | 不受速率限制影响 - 不受速率限制影响(在引入此权限之前,配置$wgRateLimitsExcludedGroups用于实现此目的) | sysop, bureaucrat | 1.13+ | ||
| override-export-depth | 导出页面,包括最多5层链接 使用此權限,可以在Special:Export處定義鏈接頁面的深度。否則,將使用$wgExportMaxLinkDepth的值(默認情況下為0)。 |
— | ? | ||
| suppressredirect | 移动页面时不在原页面创建重定向 - 需要move 权限 | bot, sysop | 1.12+ | ||
| writeapi | 使用写入API - 需要edit 权限 | *, user, bot | 1.13+ | ||
虽然这些权限都各受控制,但有时执行某些操作需要多个权限。 例如,允许人们编辑页面但不能阅读页面并没有意义,因为为了编辑页面,你必须首先能够阅读它(假设没有页面被列入白名单)。 允许上传但不允许进行编辑也没有意义,因为上传图片,必须包含创建图片说明页面等等。
用户组列表
以下用户组在最新版本的MediaWiki中可用。 如果您使用的是旧版本,那么其中一些可能无法实现。
| 用户组 | 描述 | 默认权限 | 版本 |
|---|---|---|---|
| * | 所有用户(包括匿名用户)。 | createaccount, createpage, createtalk, edit, editmyoptions, editmyprivateinfo, editmywatchlist, read, viewmyprivateinfo, viewmywatchlist, writeapi | 1.5+ |
| temp | Temporary user accounts (T330816) | Similar to * group | 1.41+ |
| user | 注册用户。 | applychangetags, changetags, createpage, createtalk, edit, editcontentmodel, editmyusercss, editmyuserjs, editmyuserjson, minoredit, move, move-categorypages, move-rootuserpages, move-subpages, movefile, purge, read, reupload, reupload-shared, sendemail, upload, writeapi | |
| autoconfirmed | 满足$wgAutoConfirmAge中设置的注册时间及$wgAutoConfirmCount中设置的编辑数量的注册用户。 | autoconfirmed, editsemiprotected | 1.6+ |
| bot | 拥有机器人权限的用户(用于自动化脚本)。 | autoconfirmed, autopatrol, apihighlimits, bot, editsemiprotected, nominornewtalk, suppressredirect, writeapi | 1.5+ |
| sysop | 默认情况下,用户可以删除和恢复页面,封禁和解除封禁用户等等。 | apihighlimits, autoconfirmed, autopatrol, bigdelete, block, blockemail, browsearchive, createaccount, delete, deletedhistory, deletedtext, editinterface, editprotected, editsemiprotected, editsitejson, edituserjson, import, importupload, ipblock-exempt, managechangetags, markbotedits, mergehistory, move, move-categorypages, move-rootuserpages, move-subpages, movefile, noratelimit, patrol, protect, reupload, reupload-shared, rollback, suppressredirect, unblockself, undelete, unwatchedpages, upload | 1.5+ |
| interface-admin | 可以編輯全站CSS/JS的用戶。 | editinterface, editsitecss, editsitejs, editsitejson, editusercss, edituserjs, edituserjson | 1.32+ |
| bureaucrat | 默认情况下,该组用户可以更改其他用户的权限。 | noratelimit, userrights | 1.5+ |
| suppress | deletelogentry, deleterevision, hideuser, suppressionlog, suppressrevision, viewsuppressed |
从MW 1.12开始,您可以使用$wgAutopromote创建您自己的组,用户将自动升级到该组(使用自动确认和电子邮件确认)。 您甚至可以通过只为其分配权限来创建任何自定义用户组。
默认权限
默认权限已在MainConfigSchema.php中定义。
- HEAD版本中的默认值: https://phabricator.wikimedia.org/diffusion/MW/browse/master/includes/MainConfigSchema.php
- 最新稳定的MediaWiki版本1.41中的默认值可在此处获得: https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_41/includes/MainConfigSchema.php
- 附加权利:您应该可以通过运行
User::getAllRights()来列出您wiki上可用的所有权限。
添加新权限
编码器信息仅供参考。
如果您在核心中添加新权限,例如控制新的特殊页面,则必须将其添加到PermissionManager.php中的可用权限列表中$coreRights(example)。
如果你在扩展程序中这样做,则需要使用$wgAvailableRights。
您可能还希望通过编辑上述$wgGroupPermissions将其分配给某个用户组。
如果你希望該權限能夠被外部應用程式透過OAuth或機器人密碼存取,則你需要編輯$wgGrantPermissions來加到授權中。
// 建立projectmember-powers權限
$wgAvailableRights[] = 'projectmember-powers';
// 將projectmember-powers加入到projectmember群組
$wgGroupPermissions['projectmember']['projectmember-powers'] = true;
// 將projectmember-powers加入到「basic」授權,以讓我們可以透過API請求使用我們的projectmember權限
$wgGrantPermissions['basic']['projectmember-powers'] = true;
您还需要将right-[name]和action-[name]接口消息添加到/languages/i18n/en.json(包含qqq.json中的文档)。
right-*消息可以在Special:ListGroupRights上看到,而action-*消息则用在您没有权限……这样的句子中。
参见
- Special:ListGroupRights – 指向此帮助页面的链接,并可能包含尚未记录的权利
- Help:用户权限和用户组 – 帮助页面描述使用Special:Userrights界面(行政员)
- Manual:在MediaWiki中设置用户组 – 有关管理和分配用户组的信息。
- 手册:$wgNamespaceProtection
- 手册:$wgAutopromote
- 手册:$wgAddGroups, 手册:$wgRemoveGroups
- 手册:阻止访问 – 例子
- Manual:Establishing a hierarchy of bureaucrats
- 分类:用户权限扩展 – 很多关于用户权限的扩展