Jump to content

手册:用户权限

From mediawiki.org
This page is a translated version of the page Manual:User rights and the translation is 98% complete.
Outdated translations are marked like this.

用户权限是可分配给不同用户组的权限(例如編輯頁面和封禁用戶的能力)。 MediaWiki提供默认的用户权限和用户组,但您可以对其进行修改。 此页面将讲解默认的权限和用户组,以及怎样修改。

有關如何在群組中加入和移除一個Wiki用戶的資訊,請參見Help:用户权限和用户组 Manual:在MediaWiki中设置用户组

更改用户组权限

MediaWiki安装程序会为默认用户组分配一些权限(见下文)。 你可以通过使用语法编辑$wgGroupPermissions 中的LocalSettings.php 中的数组来更改默认的权限。

$wgGroupPermissions['group']['right'] = true /* 或者为 false */;
在默认安装下,$wgGroupPermissions将在includes/DefaultSettings.php中被设置,而不是LocalSettings.php中。 你需要在后者中添加内容。

如果某个用户存在于多个用户组,则他将获取所在组的所有权限。 包括匿名用户在内的所有用户都在'*'用户组中,所有注册用户都在'user'用户组中。 除了默认用户组之外,您还可以用同样的方式创建新用户组。

示例

这个示例将禁止所有用户访问除$wgWhitelistRead 外的页面,但是仅对于注册用户开放。

$wgGroupPermissions['*']['read'] = false;
# 下面一行不是必须的,因为它已被设置与默认值中。对于'*'设置的禁止权限不会影响到设置为启用权限的用户组。
$wgGroupPermissions['user']['read'] = true;

下面的例子将禁止所有用户编辑页面,然后仅允许已确认电子邮件地址的用户编辑。

# 禁止所有用户编辑。
$wgGroupPermissions['*']['edit'] = false;
# 禁止注册用户编辑(默认情况下'user'用户组将被允许编辑,即便'*'被设置为禁止)。
$wgGroupPermissions['user']['edit'] = false;
# 将已确认电子邮箱的用户加入用户组中。
$wgAutopromote['emailconfirmed'] = APCOND_EMAILCONFIRMED;
# 在用户列表中隐藏该组。
$wgImplicitGroups[] = 'emailconfirmed';
# 最后,赋予该用户组编辑权限。
$wgGroupPermissions['emailconfirmed']['edit'] = true;

创建用户组并分配权限

您可以通过定义新用户组的权限$wgGroupPermissions[ 'group-name' ]来创建新的用户组,此处group-name为用户组的名称。

除了分配权限,您应该创建这三个wiki页面与适合的内容:

  • MediaWiki:Group-<group-name> (内容为:用户组的名称)
  • MediaWiki:Group-<group-name>-member (内容为:用户组成员的名称
  • MediaWiki:Grouppage-<group-name> (内容为:用户组页面的名称

在默认情况下,行政员可以将用户从任意用户组中添加或移除。 然而,如果您使用手册:$wgAddGroups 手册:$wgRemoveGroups ,您或许也应该修改它们。

示例

下面的例子将会随意地添加一个名为“projectmember”的用户组,且该用户组能够封禁用户、删除页面以及默认情况下隐藏更改日志。

$wgGroupPermissions['projectmember']['bot'] = true;
$wgGroupPermissions['projectmember']['block'] = true;
$wgGroupPermissions['projectmember']['delete'] = true;
用户组名称不可包含空格,因此应使用'random-group''random_group'代替'random group'。 此外,建議建立的群組名稱僅使用小寫字母。

在本例中,您或许应该创建这些页面:

  • MediaWiki:Group-projectmember (内容为:Project members
  • MediaWiki:Group-projectmember-member (内容为:Project member
  • MediaWiki:Grouppage-projectmember (内容为:Project:Project Members

这确保了该组在界面中将被称为“Project members”,该组成员被称为“Project member”,该组的概述的页面为Project:Project members

下面的示例默认情况下禁止写入(页面编辑和创建),创建一个名为“writer”的组,并授予其写访问权限。用户可以通过Special:UserRights手动添加到此组:

$wgGroupPermissions['*']['edit'] = false;
$wgGroupPermissions['*']['createpage'] = false;
$wgGroupPermissions['user']['edit'] = false;
$wgGroupPermissions['user']['createpage'] = false;
$wgGroupPermissions['writer']['edit'] = true;
$wgGroupPermissions['writer']['createpage'] = true;

在本例中,您或许也应该创建这些页面:

  • MediaWiki:Group-writer (内容为:Writers)
  • MediaWiki:Group-writer-member (内容为:Writer
  • MediaWiki:Grouppage-writer (内容为:Project:Write

移除预定义用户组

MediaWiki安装完成后即用了一些预设的用户组。 大多数情况下这些组可以通过取消设置相应的数组来删除,其中包括$wgGroupPermissions[ '<group-name>' ]。 详细内容见下。

示例

这个例子将会彻底取消行政员这一用户组。 需要确保所有这6个变量未设置于任何希望从Special:ListGroupRights列举项中移除的用户组;然而仅仅取消设置$wgGroupPermissions将足以从Special:UserRights移除。 此代码应放在任一個require_once行之后,这些行添加扩展,例如扩展:AntiSpoof ,其中包含默认情况下赋予行政员组权限的代码。

unset( $wgGroupPermissions['bureaucrat'] );
unset( $wgRevokePermissions['bureaucrat'] );
unset( $wgAddGroups['bureaucrat'] );
unset( $wgRemoveGroups['bureaucrat'] );
unset( $wgGroupsAddToSelf['bureaucrat'] );
unset( $wgGroupsRemoveFromSelf['bureaucrat'] );

在某些扩展(例如Flow、Semantic MediaWiki等)中,在扩展注册或注册功能期间添加权限。在这种情况下,可能需要在LocalSettings.php中使用注册功能来删除一些预定义的用户组:

$wgExtensionFunctions[] = function() use ( &$wgGroupPermissions ) {
    unset( $wgGroupPermissions['oversight'] );
    unset( $wgGroupPermissions['flow-bot'] );
};

关于“user”用户组的注意事项

使用上述机制,可以移除管理员、行政员和机器人用户组,如果被使用通常可以通过用户权限系统分配。 但是,目前无法移除user用户组。 此组不是通过通常的权限系统分配的。 相反,每个登录用户都会自动成为该组的成员。 这是MediaWiki中的硬编码,目前不能轻易更改。

权限列表

下列的用户权限在MediaWiki的最新版可用。 如果您使用的是旧版本,请查看您的维基上的Special:Version并查看您使用的版本是否包含在“版本”列中。

权限 描述 默认拥有此权限的用户组 版本
閱讀
read 阅读页面 - 当设置为false时,可通过$wgWhitelistRead 访问特定页面
警告 警告: 設定使用者權限「read」(允許瀏覽頁面)為false時僅會保護「維基(條目、討論……)頁面」,但上傳檔案(在$wgUploadPath 目錄中的圖片、檔案、文件……)將預設永遠保持在直接存取可讀的情況
當您需要限制圖片瀏覽和檔案下載僅供登入使用者可存取時,請使用Manual:Image authorization img_auth.php 頁面上的資訊。
*, user 1.5+
编辑
applychangetags 标签与自己的更改一起应用 - 需要edit权限 user 1.25+
autocreateaccount 通过外部用户账号自动登录 - 受较大限制的“createaccount”版本 1.27+
createaccount 新建用户账号 - register / registration *, sysop 1.5+
createpage 创建(非讨论页)页面 - 需要edit权限 *, user 1.6+
createtalk 创建讨论页面 - 需要edit权限 *, user 1.6+
delete-redirect 删除单个版本的重定向 (注意,如果该组已经拥有delete权限,则不需要这个权限) 1.36+
edit 编辑页面 *, user 1.5+
editsemiprotected 编辑保护等级为“Allow only autoconfirmed users”的页面 - 无级联保护 - requires the edit right autoconfirmed, bot, sysop 1.22+
editprotected 编辑保护等级为“Allow only administrators”的页面 - 无级联保护 - requires the edit right sysop 1.13+
minoredit 标记编辑为小编辑 - 需要edit权限 user 1.6+
move 移动页面 - 需要edit权限 user, sysop 1.5+
move-categorypages 移动分类页面 - 需要move权限 user, sysop 1.25+
move-rootuserpages 移动根用户页面 - 需要move权限 user, sysop 1.14+
move-subpages 移动页面及其子页面 - 需要move权限 user, sysop 1.13+
movefile 移动文件 - 需要move权限且$AllowImageMoving应为真 user, sysop 1.14+
reupload 覆盖现存文件 - 需要upload权限 user, sysop 1.6+
reupload-own 覆盖自己上传的文件 - 需要upload权限(注意如果用户组已拥有reupload权限的话,就不需要这个) 1.11+
reupload-shared 本地覆盖共享文件库的文件 - (若一个已经存在)用本地文件覆盖 (需要upload权限) user, sysop 1.6+
sendemail 发送电子邮件给其他用户 user 1.16+
upload 上传文件 - 需要edit权限及$wgEnableUploads 設定為true user, sysop 1.5+
upload_by_url 从URL上传文件 - 需要upload权限 (在1.20之前,它被賦予給管理員) 1.8+
管理
bigdelete 删除有大型历史的页面 (由$wgDeleteRevisionsLimit 定義) - 需要delete 权限 sysop 1.12+
block 阻止或取消阻止其他用户编辑 - 封禁选项包括禁止编辑和注册新帐户,以及自动封禁同一IP地址上的其他用户。 sysop 1.5+
blockemail 阻止或取消阻止用户发送电子邮件 - 允许在封禁时阻止使用Special:Emailuser界面--需要「block」權限 sysop 1.11+
browsearchive 搜索已被删除的页面 - 通过Special:Undelete - 需要deletedhistory 权限 sysop 1.13+
changetags 在个别修订和日志记录中添加并移除任意标签 - 目前未被扩展使用 user 1.25+
delete 删除页面 1.5–1.11: 允许删除或取消删除页面。
1.12+: 允许删除页面。 对于取消删除,目前拥有'undelete'权限,参见下方
sysop 1.5+
deletedhistory 查看被删除的历史项目,不含相关文本 sysop 1.6+
deletedtext 查看已被删除的文本及已删除版本间的差异 sysop 1.16+
deletelogentry 删除和恢复特定的日志项目 - 允许删除/反删除特定日志条目的信息(操作文本,摘要,进行操作的用户),需要deleterevision權限 suppress 1.20+
deleterevision 删除和恢复页面的特定版本 - 允许删除/反删除特定修订的信息(修订文本,编辑摘要,编辑用户) 在1.20版本中拆分为删除修订版本和删除日志记录 suppress 1.6+
editcontentmodel 编辑页面的内容模型 - 需要edit 权限 user 1.23.7+
editinterface 编辑用户界面 - 包含界面信息。 现在要编辑全站的CSS/JSON/JS,需要隔离权限,详细见下文。 - 需要edit 权限 sysop, interface-admin 1.5+
editmyoptions 编辑自己的参数设置 * 1.22+
editmyprivateinfo 编辑自己的私人数据(如电子邮件地址、真实姓名)和申请重置密码邮件 - “更改密码”也被隐藏了,但没有隐藏其他更改密码的方式 - 需要viewmyprivateinfo 权限 * 1.22+
editmyusercss 编辑自己的用户CSS文件 - 在1.31之前,它被賦予給所有人(即「*」)(注意如果用戶組已經有editusercss權限則不需要) - 需要edit 权限 user 1.22+
editmyuserjs 编辑自己的用户JavaScript文件 - 在1.31之前,它被賦予給所有人(即「*」)(注意如果用戶組已經有edituserjs權限則不需要) - 需要edit 权限 user 1.22+
editmyuserjsredirect 编辑自己的JavaScript重定向文件 (注意,如果该组已经拥有edituserjs权限,则不需要这个权限) - 需要edit 权限 1.34+
editmyuserjson 编辑自己的用户JSON文件 (注意如果用戶組已經有edituserjson權限則不需要) - 需要edit 权限 user 1.31+
editmywatchlist 编辑自己的监视列表(请留意即使缺少此权限,某些操作仍将添加页面至监视列表) - requires the viewmywatchlist right * 1.22+
editsitecss 编辑全站CSS - 需要editinterface 权限 interface-admin 1.32+
editsitejs 编辑全站JavaScript - 需要editinterface 权限 interface-admin 1.32+
editsitejson 编辑全站JSON - 需要editinterface 权限 sysop, interface-admin 1.32+
editusercss 编辑其他用户的CSS文件 - 需要edit 权限 interface-admin 1.16+
edituserjs 编辑其他用户的JavaScript文件 - 需要edit 权限 interface-admin 1.16+
edituserjson 编辑其他用户的JSON文件 - 需要edit 权限 sysop, interface-admin 1.31+
hideuser 封禁或解封、隐藏或取消隐藏用户名 - 默认仅能对于不多于1000次编辑的用户可用。 - 需要block 权限

使用$wgHideUserContribLimit 来禁用这一限制。

suppress 1.10+
markbotedits 标记回退编辑为机器人编辑 - 参见手册:回退 - 需要rollback 权限 sysop 1.12+
mergehistory 合并页面历史 - 需要edit 权限 sysop 1.12+
pagelang 更改页面语言 - $wgPageLanguageUseDB 必须为true 1.24+
patrol 标记他人的编辑为已巡查 - $wgUseRCPatrol 必须为true sysop 1.5+
patrolmarks 查看最近更改的巡查标记 1.16+
protect 更改保护设定和编辑受连锁保护的页面 - 需要edit 权限 sysop 1.5+
rollback 快速回退最后一位用户对某一页面的编辑 - 需要edit 权限 sysop 1.5+
suppressionlog 查看非公开日志 suppress 1.6+
suppressrevision 查看、隐藏与取消隐藏来自任何用户对页面做出的特定版本修订 - 在版本1.13之前,被命名为hiderevision - 需要deleterevision 权限 suppress 1.6+
unblockself 自我解封 - 若没有此权限,管理员在被其他管理员封禁时管理员不能自我解封 sysop 1.17+
undelete 还原页面 - 需要deletedhistory 权限 sysop 1.12+
userrights 编辑所有用户权限 - 允许向任何用户分配或移除所有用户组。

*使用$wgAddGroups $wgRemoveGroups ,您可以设置添加/删除某些组而不是全部的可能性

bureaucrat 1.5+
userrights-interwiki 编辑其他wiki上用户的用户权限 - requires the userrights right 1.12+
viewmyprivateinfo 查看自己的私人数据(如电子邮件地址、真实姓名) * 1.22+
viewmywatchlist 查看自己的监视列表 * 1.22+
viewsuppressed 查看被隐藏的任何用户的修订 - 即一个比「suppressrevision」更小的权限(注意如果用戶組已經有suppressrevision權限則不需要) suppress 1.24+
管理
autopatrol 使自己的编辑自动标记为已巡查 - $wgUseRCPatrol 必须为true bot, sysop 1.9+
deletechangetags 从数据库删除标签 - 目前未被扩展使用 sysop 1.28+
import 从其他wiki导入页面 - “跨维基” - 需要edit 权限 sysop 1.5+
importupload 通过上传文件导入页面 - 这个权限在1.5版本及之前被称为“importraw” - 需要edit 权限 sysop 1.5+
managechangetags 创建和(取消)激活标签 - 目前未被扩展使用 sysop 1.25+
siteadmin 锁定和解锁数据库 - 阻止与网站的所有交互(除了访问)。 (默认情况下不可用) 1.5+
unwatchedpages 查看未受监视的页面列表 - 列出没有用户监视的页面 sysop 1.6+
技术
apihighlimits 在API查询中使用更高的上限 bot, sysop 1.12+
autoconfirmed 不受基于IP的速率限制 - 使用'autoconfirmed'组,有关详细信息,请参阅下表 (note that this is not needed if the group already has the noratelimit right) autoconfirmed, bot, sysop 1.6+
bot 被视为自动化过程 - 可随意地查看 bot 1.5+
ipblock-exempt 绕过IP封禁、自动封禁和段封禁 sysop 1.9+
nominornewtalk 不使小编辑在讨论页面引发新消息提示 - 需要minoredit 权限 bot 1.9+
noratelimit 不受速率限制影响 - 不受速率限制影响(在引入此权限之前,配置$wgRateLimitsExcludedGroups 用于实现此目的) sysop, bureaucrat 1.13+
override-export-depth 导出页面,包括最多5层链接
使用此權限,可以在Special:Export處定義鏈接頁面的深度。否則,將使用$wgExportMaxLinkDepth 的值(默認情況下為0)。
1.15+
suppressredirect 移动页面时不在原页面创建重定向 - 需要move 权限 bot, sysop 1.12+
虽然这些权限都各受控制,但有时执行某些操作需要多个权限。 例如,允许人们编辑页面但不能阅读页面并没有意义,因为为了编辑页面,你必须首先能够阅读它(假设没有页面被列入白名单)。 允许上传但不允许进行编辑也没有意义,因为上传图片,必须包含创建图片说明页面等等。


用户组列表

以下用户组在最新版本的MediaWiki中可用。 如果您使用的是旧版本,那么其中一些可能无法实现。

用户组 描述 默认权限 版本
* 所有用户(包括匿名用户)。 createaccount, createpage, createtalk, edit, editmyoptions, editmyprivateinfo, editmywatchlist, read, viewmyprivateinfo, viewmywatchlist 1.5+
temp Temporary user accounts (T330816) Similar to * group 1.41+
user 注册用户。 Does not include temporary accounts. applychangetags, changetags, createpage, createtalk, edit, editcontentmodel, editmyusercss, editmyuserjs, editmyuserjson, minoredit, move, move-categorypages, move-rootuserpages, move-subpages, movefile, purge, read, reupload, reupload-shared, sendemail, upload 1.13+
autoconfirmed 满足$wgAutoConfirmAge 中设置的注册时间及$wgAutoConfirmCount中设置的编辑数量的注册用户。 autoconfirmed, editsemiprotected 1.6+
bot 拥有机器人权限的用户(用于自动化脚本)。 autoconfirmed, autopatrol, apihighlimits, bot, editsemiprotected, nominornewtalk, suppressredirect 1.5+
sysop 默认情况下,用户可以删除和恢复页面,封禁和解除封禁用户等等。 apihighlimits, autoconfirmed, autopatrol, bigdelete, block, blockemail, browsearchive, createaccount, delete, deletedhistory, deletedtext, editinterface, editprotected, editsemiprotected, editsitejson, edituserjson, import, importupload, ipblock-exempt, managechangetags, markbotedits, mergehistory, move, move-categorypages, move-rootuserpages, move-subpages, movefile, noratelimit, patrol, protect, reupload, reupload-shared, rollback, suppressredirect, unblockself, undelete, unwatchedpages, upload 1.5+
interface-admin 可以編輯全站CSS/JS的用戶。 editinterface, editsitecss, editsitejs, editsitejson, editusercss, edituserjs, edituserjson 1.32+
bureaucrat 默认情况下,该组用户可以更改其他用户的权限。 noratelimit, userrights 1.5+
suppress deletelogentry, deleterevision, hideuser, suppressionlog, suppressrevision, viewsuppressed 1.13+

从MW 1.12开始,您可以使用$wgAutopromote 创建您自己的组,用户将自动升级到该组(使用自动确认和电子邮件确认)。 您甚至可以通过只为其分配权限来创建任何自定义用户组。

默认权限

默认权限已在MainConfigSchema.php 中定义。

添加新权限

编码器信息仅供参考。

如果您在核心中添加新权限,例如控制新的特殊页面,则必须将其添加到PermissionManager.php 中的可用权限列表中$coreRightsexample)。 如果你在扩展程序中这样做 ,则需要使用$wgAvailableRights

您可能还希望通过编辑上述$wgGroupPermissions 将其分配给某个用户组。

如果你希望該權限能夠被外部應用程式透過OAuth 機器人密碼存取,則你需要編輯$wgGrantPermissions 來加到授權中。

// 建立projectmember-powers權限
$wgAvailableRights[] = 'projectmember-powers';

// 將projectmember-powers加入到projectmember群組
$wgGroupPermissions['projectmember']['projectmember-powers'] = true;

// 將projectmember-powers加入到「basic」授權,以讓我們可以透過API請求使用我們的projectmember權限
$wgGrantPermissions['basic']['projectmember-powers'] = true;

您还需要将right-[name]action-[name]接口消息添加到/languages/i18n/en.json(包含qqq.json中的文档)。 right-*消息可以在Special:ListGroupRights上看到,而action-*消息则用在您没有权限……这样的句子中。

参见