增强：实现真正的创始人（ID=1）特权控制：限制非 ID=1 管理员访问部分后台模块及修改他人等级的能力

2026-02-27 09:39:26 +08:00
parent 4c48530a4f
commit 44ac4742d8
6 changed files with 71 additions and 24 deletions
--- a/app/Http/Controllers/Admin/UserManagerController.php
+++ b/app/Http/Controllers/Admin/UserManagerController.php
@@ -73,9 +73,11 @@ class UserManagerController extends Controller

        // 如果传了且没超权，直接赋予
        if (isset($validated['user_level'])) {
-            // 不能把别人提权到超过自己的等级
-            if ($validated['user_level'] > $currentUser->user_level && $currentUser->id !== $targetUser->id) {
-                return response()->json(['status' => 'error', 'message' => '您不能将别人提升至超过您的等级！'], 403);
+            if ($currentUser->id !== $targetUser->id) {
+                // 修改别人：只有真正的创始人 (ID=1) 才能修改别人的等级
+                if ($currentUser->id !== 1) {
+                    return response()->json(['status' => 'error', 'message' => '权限越界：只有星系创始人（站长）才能调整其他用户的行政等级！'], 403);
+                }
            }
            $targetUser->user_level = $validated['user_level'];
        }