分析 WordPress `wp_update_post_lock()` 函数源码：如何实现文章编辑锁定，防止多人同时编辑。

各位观众老爷，晚上好！我是你们的老朋友，代码界的段子手，今晚咱们来聊聊 WordPress 里那个让人又爱又恨的玩意儿——文章编辑锁定。 保证让大家听完之后，也能回去自己魔改，做出个“防小三”版的文章编辑锁定插件出来！

讲座主题： WordPress wp_update_post_lock() 函数源码分析：文章编辑锁定的幕后英雄

咱们都知道，多人同时编辑同一篇文章，那简直就是灾难现场。轻则内容覆盖，重则数据丢失，简直是程序员的噩梦。WordPress 早就帮咱们想到了这一点，它通过 wp_update_post_lock() 函数来实现文章编辑锁定功能，确保同一时间只有一个用户可以编辑文章。

一、 概念先行：什么是文章编辑锁定？

文章编辑锁定，顾名思义，就是当一个用户正在编辑某篇文章时，WordPress 会给这篇文章“上锁”，阻止其他用户同时进行编辑。其他用户尝试编辑时，会看到一个友好的提示，告诉他们这篇文章已经被锁定了，只能等待解锁或者强制接管。

二、 核心函数：wp_update_post_lock() 的庐山真面目

我们先来看看 wp_update_post_lock() 函数的源码（精简版）：

function wp_update_post_lock( $post_id = 0 ) {
    if ( ! $post_id ) {
        $post_id = get_the_ID();
    }

    if ( ! get_post( $post_id ) ) {
        return false;
    }

    $user_id = get_current_user_id();
    if ( ! $user_id ) {
        return false;
    }

    $now = time();
    $lock = get_post_meta( $post_id, '_edit_lock', true );

    //如果已经有锁
    if ( $lock ) {
        $lock = explode( ':', $lock );
        $time = absint( $lock[0] );
        $locked_user = absint( $lock[1] );

        //锁已经过期了
        if ( $time < ( $now - ( 15 * MINUTE_IN_SECONDS ) ) ) {
            update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
            return true;
        }

        //锁是当前用户加的，刷新时间
        if ( $locked_user == $user_id ) {
            update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
            return true;
        }

        // 锁是其他人加的,什么都不做
        return false;

    } else { // 没有锁，直接上锁
        update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
        return true;
    }
}

三、 源码解读：逐行分析，抽丝剥茧

别怕，代码看起来挺长，其实逻辑很简单。咱们一行一行地捋：

1. 获取文章 ID：

   if ( ! $post_id ) {
       $post_id = get_the_ID();
   }
   
   if ( ! get_post( $post_id ) ) {
       return false;
   }

   这段代码首先判断是否传入了 $post_id，如果没有，就使用 get_the_ID() 函数获取当前文章的 ID。然后，它会使用 get_post() 函数验证这个 ID 是否指向一个有效的文章，如果不是，就直接返回 false，表示无法上锁。

2. 获取用户 ID：

   $user_id = get_current_user_id();
   if ( ! $user_id ) {
       return false;
   }

   这里获取当前用户的 ID。如果没有用户登录，就返回 false，表示无法上锁。只有登录用户才能锁定文章。

3. 获取当前时间：

   $now = time();

   time() 函数返回当前的时间戳，单位是秒。 这个时间戳将会被用来记录锁定的时间，以便后续判断锁是否过期。

4. 获取文章的锁定信息：

   $lock = get_post_meta( $post_id, '_edit_lock', true );

   get_post_meta() 函数用于获取文章的自定义字段。这里，它尝试获取 _edit_lock 这个自定义字段的值。_edit_lock 用于存储锁定信息，格式是 时间戳:用户ID。
   第三个参数 true 表示返回的是单个值，而不是数组。

5. 判断是否已经有锁：

   if ( $lock ) {
       // ...
   } else {
       // ...
   }

   如果 $lock 有值，说明这篇文章已经被锁定了，进入 if 分支。如果 $lock 为空，说明这篇文章还没有被锁定，进入 else 分支。

6. 处理已经有锁的情况 ( if 分支 )：

   $lock = explode( ':', $lock );
   $time = absint( $lock[0] );
   $locked_user = absint( $lock[1] );
   
   //锁已经过期了
   if ( $time < ( $now - ( 15 * MINUTE_IN_SECONDS ) ) ) {
       update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
       return true;
   }
   
   //锁是当前用户加的，刷新时间
   if ( $locked_user == $user_id ) {
       update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
       return true;
   }
   
   // 锁是其他人加的,什么都不做
   return false;

   • 解析锁定信息： explode( ':', $lock ) 函数将 时间戳:用户ID 格式的字符串分割成一个数组。$time 存储的是锁定时间戳，$locked_user 存储的是锁定用户的 ID。 absint() 函数确保时间戳和用户 ID 都是整数。
   • 判断锁是否过期： if ( $time < ( $now - ( 15 * MINUTE_IN_SECONDS ) ) ) 这一行是关键。它判断锁定时间是否超过了 15 分钟。MINUTE_IN_SECONDS 是 WordPress 定义的一个常量，表示一分钟的秒数（60）。如果超过了 15 分钟，就认为锁已经过期，可以被新的用户覆盖。
   • 判断锁是否是当前用户加的： if ( $locked_user == $user_id ) 这一行判断当前用户是否是锁定文章的用户。如果是，就刷新锁定的时间，延长锁定时间。
   • 锁是其他人加的： 如果锁没有过期，并且不是当前用户加的，就什么都不做，直接返回 false，表示无法上锁。

7. 处理没有锁的情况 ( else 分支 )：

   update_post_meta( $post_id, '_edit_lock', $now . ':' . $user_id );
   return true;

   如果没有锁，就直接使用 update_post_meta() 函数将当前的 时间戳:用户ID 写入 _edit_lock 自定义字段，表示文章已经被当前用户锁定了。然后返回 true，表示上锁成功。

四、流程图：让逻辑更清晰

为了让大家更好地理解 wp_update_post_lock() 函数的执行流程，咱们画个流程图：

graph TD
    A[开始] --> B{获取文章ID和用户ID};
    B --> C{获取_edit_lock元数据};
    C --> D{_edit_lock存在吗?};
    D -- 是 --> E{解析_edit_lock元数据};
    D -- 否 --> K{更新_edit_lock元数据 (time:user)};
    E --> F{锁过期了吗? (15分钟)};
    F -- 是 --> K;
    F -- 否 --> G{当前用户是锁的拥有者吗?};
    G -- 是 --> K;
    G -- 否 --> H{返回false (无法上锁)};
    K --> L{更新_edit_lock元数据 (time:user)};
    L --> M{返回true (上锁成功)};
    H --> N[结束];
    M --> N;

五、 实际应用：在 WordPress 编辑器中如何使用？

wp_update_post_lock() 函数通常与 JavaScript 结合使用，在 WordPress 编辑器中实现实时的文章编辑锁定功能。

1. 在文章加载时，尝试获取锁定： 当用户打开文章编辑页面时，JavaScript 会调用 wp_update_post_lock() 函数，尝试获取锁定。
2. 定时刷新锁定： JavaScript 会定期（例如每隔 10 秒）调用 wp_update_post_lock() 函数，刷新锁定时间，防止锁定过期。
3. 当用户离开编辑页面时，释放锁定： 当用户关闭编辑页面或者点击“更新”按钮时，JavaScript 会发送一个请求到服务器，删除 _edit_lock 自定义字段，释放锁定。（WordPress 实际上并没有提供一个显式的函数来解锁，而是依赖锁过期机制，也可以通过删除 _edit_lock 元数据实现立即解锁）
4. 提示其他用户： 如果其他用户尝试编辑已经被锁定的文章，WordPress 会检测到 _edit_lock 自定义字段的存在，并显示一个提示信息，告诉他们这篇文章已经被锁定。

六、 深入思考：wp_update_post_lock() 的局限性

wp_update_post_lock() 函数虽然能够实现基本的文章编辑锁定功能，但它也存在一些局限性：

• 依赖客户端的定时刷新： 锁定时间是基于客户端的定时刷新来维持的。如果客户端出现问题（例如浏览器崩溃、网络中断），锁定可能会过早过期。
• 没有强制接管机制： wp_update_post_lock() 函数没有提供强制接管锁定的机制。如果用户忘记关闭编辑页面，锁可能会一直存在，导致其他用户无法编辑文章。
• 基于时间戳的过期机制可能存在误差： 客户端和服务器的时间可能存在误差，导致锁定时间不准确。

七、 进阶技巧：如何改进文章编辑锁定功能？

为了克服 wp_update_post_lock() 函数的局限性，我们可以采取以下措施：

1. 使用心跳机制： 可以使用 WordPress 的 Heartbeat API，实现更可靠的定时刷新。Heartbeat API 允许客户端和服务器之间建立一个持久的连接，实时地发送和接收数据。
2. 实现强制接管机制： 可以添加一个“强制接管”按钮，允许管理员或者具有特定权限的用户强制接管锁定。
3. 使用服务器端的时间： 尽量使用服务器端的时间来判断锁定是否过期，减少时间误差。
4. 记录用户的操作： 记录用户在编辑文章时的操作，例如保存草稿、发布文章等。如果用户长时间没有进行任何操作，可以自动释放锁定。
5. 引入WebSocket: 使用WebSocket技术，服务器可以主动推送文章锁定状态给客户端，这样可以更实时地显示锁定信息，减少客户端轮询的压力。

八、代码示例：强制接管功能的实现 ( 仅示例，生产环境需完善 )

// 添加强制接管按钮到文章编辑页面
add_action( 'post_submitbox_misc_actions', 'add_force_unlock_button' );
function add_force_unlock_button() {
    global $post;

    $lock = get_post_meta( $post->ID, '_edit_lock', true );
    if ( $lock ) {
        $lock = explode( ':', $lock );
        $locked_user_id = absint( $lock[1] );
        $locked_user = get_userdata( $locked_user_id );

        if ( $locked_user && current_user_can( 'edit_others_posts' ) ) { // 只有管理员才能强制解锁
            echo '<div class="misc-pub-section">';
            echo '<input type="hidden" name="force_unlock_nonce" value="' . wp_create_nonce( 'force_unlock_' . $post->ID ) . '" />';
            echo '<input type="submit" name="force_unlock" class="button" value="强制解锁" onclick="return confirm('确定要强制解锁吗？');" />';
            echo '</div>';
        }
    }
}

// 处理强制接管请求
add_action( 'save_post', 'handle_force_unlock' );
function handle_force_unlock( $post_id ) {
    if ( isset( $_POST['force_unlock'] ) && isset( $_POST['force_unlock_nonce'] ) && wp_verify_nonce( $_POST['force_unlock_nonce'], 'force_unlock_' . $post_id ) ) {
        delete_post_meta( $post_id, '_edit_lock' );
    }
}

这个代码示例演示了如何添加一个“强制解锁”按钮到文章编辑页面，并处理强制解锁的请求。只有具有 edit_others_posts 权限的用户（通常是管理员）才能看到这个按钮，并且点击按钮会删除 _edit_lock 自定义字段，释放锁定。

九、 表格总结：wp_update_post_lock() 的优缺点

特性	优点	缺点
基本功能	实现基本的文章编辑锁定，防止多人同时编辑	依赖客户端定时刷新，可能出现锁定失效
安全性	使用自定义字段存储锁定信息，安全性较高	没有强制接管机制，可能导致锁定无法释放
易用性	WordPress 内置函数，易于使用	基于时间戳的过期机制可能存在误差
可扩展性	可以通过插件或者主题进行扩展，例如添加强制接管功能	扩展性有限，需要修改核心代码才能实现更高级的功能（不推荐直接修改核心代码）
性能	对性能影响较小，只涉及到自定义字段的读取和写入	大量文章同时被锁定时，可能会对数据库造成一定的压力

十、 总结：文章编辑锁定，安全第一

文章编辑锁定是 WordPress 中一个非常重要的功能，它可以有效地防止多人同时编辑同一篇文章，保护数据的完整性。wp_update_post_lock() 函数是实现文章编辑锁定的核心，理解它的源码对于开发 WordPress 插件或者主题非常有帮助。

当然，wp_update_post_lock() 函数也存在一些局限性，需要根据实际情况进行改进。希望今天的讲座能够帮助大家更好地理解 WordPress 的文章编辑锁定机制，并在实际开发中灵活运用。

最后，提醒大家，安全第一！在实现文章编辑锁定功能时，一定要注意安全性，防止恶意用户利用漏洞进行攻击。

今天的分享就到这里，感谢大家的观看！下次有机会再和大家聊聊 WordPress 的其他有趣的功能。 祝大家编码愉快，bug 远离！