feat: 任命/撤销通知系统 + 用户名片UI优化

- 任命/撤销事件增加 type 字段区分类型
- 任命：全屏礼花 + 紫色弹窗 + 紫色系统消息
- 撤销：灰色弹窗 + 灰色系统消息，无礼花
- 消息分发：操作者/被操作者显示在私聊面板，其他人显示在公屏
- 系统消息加随机鼓励语（各5条轮换）
- ChatStateService 修复 Redis key 前缀扫描问题（getAllActiveRoomIds）
- 用户名片折叠优化：管理员视野、职务履历均可折叠
- 管理操作 + 职务操作合并为「🔧 管理操作」折叠区
- 悄悄话改为「🎁 送礼物」按钮，礼物面板内联展开

bootstrap/app.php

@@ -16,11 +16,21 @@ return Application::configure(basePath: dirname(__DIR__))
             'chat.auth' => \App\Http\Middleware\ChatAuthenticate::class,
             'chat.level' => \App\Http\Middleware\LevelRequired::class,
             'chat.site_owner' => \App\Http\Middleware\SiteOwnerRequired::class,
+            'chat.has_position' => \App\Http\Middleware\HasActivePosition::class,
         ]);
 
         // 这一步是为了防止用户访问需要登录的页面时，默认被跳到原版 Laravel 未定义的 login 路由报错
         $middleware->redirectGuestsTo('/');
     })
     ->withExceptions(function (Exceptions $exceptions): void {
-        //
+        // 聊天室 AJAX 接口：CSRF token 过期（419）时，返回 JSON 提示而非重定向
+        // 防止浏览器收到 302 后以 GET 方式重请求只允许 POST 的路由，产生 405 错误
+        $exceptions->render(function (\Illuminate\Session\TokenMismatchException $e, \Illuminate\Http\Request $request) {
+            if ($request->is('room/*/send', 'room/*/heartbeat', 'room/*/leave', 'room/*/announcement', 'gift/*', 'command/*', 'chatbot/*', 'shop/*')) {
+                return response()->json([
+                    'status' => 'error',
+                    'message' => '页面已过期，请刷新后重试。',
+                ], 419);
+            }
+        });
     })->create();