深入解读 WordPress `wp_remote_get()` 函数源码：HTTP 请求封装与 `WP_Http` 类。 - 智猿学院-前后端，数据库，人工智能，云计算等领域前沿技术讲座

各位观众老爷，欢迎来到今天的“WordPress 源码一日游”特别节目。今天咱们要扒的是 WordPress 里面一个非常实用，也是非常重要的函数 wp_remote_get()。这玩意儿看起来简单，但里面可是藏着不少好东西，是 WordPress 与外部世界沟通的重要桥梁。

开场白：HTTP 请求的重要性

在互联网世界里，咱们的 WordPress 站点经常需要和别的服务器打交道。比如，获取远程文件、调用 API 接口、验证用户身份等等。这些都需要用到 HTTP 请求。而 wp_remote_get() 就是 WordPress 提供的，用来发起 GET 请求的函数。

wp_remote_get() 的基本用法

首先，咱们来看看 wp_remote_get() 的基本用法：

$url = 'https://api.example.com/data';
$response = wp_remote_get( $url );

if ( is_wp_error( $response ) ) {
    $error_message = $response->get_error_message();
    echo "Something went wrong: $error_message";
} else {
    echo 'Status code: ' . wp_remote_retrieve_response_code( $response ) . '<br>';
    echo 'Body: ' . wp_remote_retrieve_body( $response );
}

这段代码的意思是：

定义一个 URL，指向我们要请求的 API 接口。
使用 wp_remote_get() 发起 GET 请求，并将返回结果保存在 $response 变量中。
检查 $response 是否是 WP_Error 对象。如果是，说明请求出错了，打印错误信息。
如果请求成功，打印 HTTP 状态码和响应内容。

是不是很简单？但别着急，好戏还在后头。

wp_remote_get() 源码剖析

现在，咱们来深入 wp_remote_get() 的源码，看看它背后都做了些什么。

function wp_remote_get( $url, $args = array() ) {
    $args['method'] = 'GET';
    return wp_remote_request( $url, $args );
}

咦？就这么几行代码？没错，wp_remote_get() 实际上只是 wp_remote_request() 的一个封装。它把请求方法设置为 GET，然后调用 wp_remote_request() 来处理实际的请求。

核心函数：wp_remote_request()

wp_remote_request() 才是真正的核心函数。它负责构建和发送 HTTP 请求，并处理响应。咱们来看看它的源码（简化版）：

function wp_remote_request( $url, $args = array() ) {
    global $wp_http;

    $args = wp_parse_args( $args );

    //... 一大堆参数处理 ...

    // If we have a stream context, pass that along too.
    if ( ! empty( $args['stream'] ) ) {
        if ( ! class_exists( 'WP_HTTP_Streams' ) ) {
            require_once ABSPATH . WPINC . '/class-http.php';
        }

        $http = new WP_HTTP_Streams();
        return $http->request( $url, $args );
    }

    if ( ! is_a( $wp_http, 'WP_Http' ) ) {
        if ( ! class_exists( 'WP_Http' ) ) {
            require_once ABSPATH . WPINC . '/class-http.php';
        }
        $wp_http = new WP_Http();
    }

    return $wp_http->request( $url, $args );
}

这段代码做了以下几件事：

参数解析： 使用 wp_parse_args() 合并默认参数和用户传入的参数。这允许我们自定义请求头、超时时间、是否验证 SSL 证书等等。
判断是否使用 Stream Context: 如果设置了 stream 参数，则使用 WP_HTTP_Streams 类处理。
实例化 WP_Http 类： 如果 $wp_http 对象不存在，则实例化 WP_Http 类。
调用 WP_Http::request()： 将 URL 和参数传递给 WP_Http 类的 request() 方法，发起实际的 HTTP 请求。

WP_Http 类：HTTP 请求的幕后英雄

WP_Http 类是 WordPress 中处理 HTTP 请求的核心类。它封装了各种 HTTP 请求方法（GET、POST、PUT、DELETE 等），并提供了灵活的配置选项。

咱们来看看 WP_Http::request() 方法（简化版）：

public function request( $url, $args = array() ) {
    $args = wp_parse_args( $args );

    //... 参数处理，构建请求头 ...

    $http_response = new WP_HTTP_Response();

    //... 根据配置选择不同的 HTTP 传输方式 ...

    if ( isset( $args['transport'] ) && 'curl' === $args['transport'] ) {
        $response = $this->_dispatch_request( $url, $args, 'curl' );
    } elseif ( extension_loaded( 'curl' ) && ! defined( 'WP_HTTP_BLOCK_EXTERNAL' ) ) {
        $response = $this->_dispatch_request( $url, $args, 'curl' );
    } elseif ( function_exists( 'fsockopen' ) && ! defined( 'WP_HTTP_BLOCK_EXTERNAL' ) ) {
        $response = $this->_dispatch_request( $url, $args, 'streams' );
    } else {
        $http_response->errors = array( 'no_http' => array( __( 'Your server does not support the cURL or fsockopen functions. Contact your host for assistance.' ) ) );
        return new WP_Error( 'no_http', __( 'Your server does not support the cURL or fsockopen functions. Contact your host for assistance.' ), $url );
    }

    //... 处理响应 ...

    return $http_response;
}

这段代码做了以下几件事：

参数解析： 再次使用 wp_parse_args() 处理参数。
构建请求头： 根据参数构建 HTTP 请求头。
选择 HTTP 传输方式： 根据服务器环境和配置，选择不同的 HTTP 传输方式。
- cURL： 如果 cURL 扩展可用，则使用 cURL 发起请求。这是首选的传输方式，因为它功能强大、性能优秀。
- Streams： 如果 cURL 不可用，但 fsockopen() 函数可用，则使用 Streams 发起请求。
- 错误处理： 如果 cURL 和 Streams 都不可用，则返回一个 WP_Error 对象。
调用 _dispatch_request()： 将 URL、参数和传输方式传递给 _dispatch_request() 方法，发起实际的 HTTP 请求。
处理响应： 将响应数据封装到 WP_HTTP_Response 对象中，并返回。

_dispatch_request() 方法：真正发起请求

_dispatch_request() 方法是真正发起 HTTP 请求的地方。它根据选择的传输方式，调用相应的函数或类来发送请求。

由于篇幅限制，咱们就不深入 _dispatch_request() 的源码了。但你可以简单地理解为，它会调用 cURL 或 Streams 相关的函数，将请求发送到服务器，并接收响应数据。

参数详解：wp_remote_request() 的强大之处

wp_remote_request() 的强大之处在于它的参数配置。通过修改参数，我们可以灵活地控制 HTTP 请求的各个方面。

下面是一些常用的参数：

参数名	类型	默认值	说明
`method`	string	`'GET'`	HTTP 请求方法，可以是 `'GET'`、`'POST'`、`'PUT'`、`'DELETE'` 等。
`timeout`	int	`5`	请求超时时间，单位为秒。
`redirection`	int	`5`	最大重定向次数。
`httpversion`	string	`'1.0'`	HTTP 协议版本，可以是 `'1.0'` 或 `'1.1'`。
`user-agent`	string	`'WordPress/' . get_bloginfo( 'version' )`	User-Agent 字符串，用于标识客户端。
`reject_unsafe_urls`	bool	`false`	是否拒绝不安全的URL。设置为 `true` 会拒绝访问 loopback 地址、私有IP 地址以及保留地址。对于 WordPress 6.0 及更高版本，默认值改为 `true`。
`headers`	array	`array()`	HTTP 请求头，是一个关联数组，键是头部的名称，值是头部的值。
`body`	mixed	`null`	HTTP 请求体，可以是字符串、数组或对象。
`cookies`	array	`array()`	HTTP Cookies，是一个数组，每个元素是一个关联数组，包含 `name` 和 `value` 两个键。
`sslverify`	bool	`true`	是否验证 SSL 证书。在开发环境中，可以设置为 `false`，但在生产环境中，强烈建议设置为 `true`。
`stream`	bool	`false`	是否使用 Stream Context。如果设置为 `true`，则使用 `WP_HTTP_Streams` 类处理请求。
`filename`	string	`''`	如果是文件上传请求，指定要上传的文件路径。

实例演示：自定义 HTTP 请求

现在，咱们来演示几个自定义 HTTP 请求的例子：

1. 设置请求头：

$url = 'https://api.example.com/data';
$args = array(
    'headers' => array(
        'X-Custom-Header' => 'My Custom Value',
        'Content-Type' => 'application/json'
    )
);
$response = wp_remote_get( $url, $args );

这段代码设置了两个自定义请求头：X-Custom-Header 和 Content-Type。

2. 发送 POST 请求：

$url = 'https://api.example.com/data';
$args = array(
    'method' => 'POST',
    'body' => array(
        'name' => 'John Doe',
        'email' => '[email protected]'
    )
);
$response = wp_remote_post( $url, $args );

这段代码发送了一个 POST 请求，并将一个数组作为请求体发送到服务器。注意，这里我们使用了 wp_remote_post() 函数，它是 wp_remote_request() 的一个封装，专门用于发送 POST 请求。

3. 设置超时时间：

$url = 'https://api.example.com/data';
$args = array(
    'timeout' => 10 // 设置超时时间为 10 秒
);
$response = wp_remote_get( $url, $args );

这段代码设置了请求的超时时间为 10 秒。如果服务器在 10 秒内没有响应，请求将会失败。

安全性考虑：防止 SSRF 攻击

在使用 wp_remote_get() 和 wp_remote_request() 时，一定要注意安全性，防止服务器端请求伪造（SSRF）攻击。

SSRF 攻击是指攻击者利用服务器发起恶意请求，访问内部网络或敏感资源。为了防止 SSRF 攻击，我们应该：

验证 URL： 在发起请求之前，验证 URL 的合法性，确保它不是指向内部网络或敏感资源的 URL。
限制访问权限： 限制 WordPress 站点可以访问的外部 URL。
使用 reject_unsafe_urls 参数: reject_unsafe_urls 参数可以用来阻止访问 loopback 地址、私有IP 地址以及保留地址。

wp_safe_remote_get() 和 wp_safe_remote_request()

WordPress 还提供了 wp_safe_remote_get() 和 wp_safe_remote_request() 函数，它们是对 wp_remote_get() 和 wp_remote_request() 的安全封装。

这两个函数会自动验证 URL，并阻止访问内部网络或敏感资源的 URL。因此，在大多数情况下，建议使用 wp_safe_remote_get() 和 wp_safe_remote_request() 函数，而不是直接使用 wp_remote_get() 和 wp_remote_request() 函数。

总结：wp_remote_get() 的价值

wp_remote_get() 函数是 WordPress 中一个非常实用、也非常重要的函数。它封装了 HTTP 请求的细节，提供了灵活的配置选项，并考虑了安全性问题。

通过深入了解 wp_remote_get() 的源码，我们可以更好地理解 WordPress 与外部世界沟通的方式，并更好地利用它来构建强大的 WordPress 插件和主题。

最后的彩蛋：HTTP 缓存

为了提高性能，WordPress 会对 HTTP 请求进行缓存。缓存的实现细节比较复杂，咱们就不深入讨论了。但你需要知道的是，WordPress 会根据 URL 和参数生成一个唯一的缓存键，并将响应数据保存在缓存中。

下次发起相同的请求时，WordPress 会直接从缓存中读取响应数据，而不需要再次发送 HTTP 请求。

结束语：希望大家有所收获！

好了，今天的“WordPress 源码一日游”就到这里了。希望大家通过今天的讲解，对 wp_remote_get() 函数有了更深入的了解。

记住，源码才是最好的老师。多多阅读源码，你才能真正掌握 WordPress 的精髓。

感谢大家的观看，咱们下期再见！

发表回复 取消回复

发表回复取消回复