功能：站长礼包系统（金币/经验双类型）+ 后台用户编辑权限收紧（仅 id=1 超管）

新增功能：
- 礼包系统：superlevel 站长可发 888 数量 10 份礼包，支持金币/经验双类型
- 发包前三按钮选择（金币礼包 / 经验礼包 / 取消），使用 chatBanner 弹窗
- 聊天室系统公告含「立即抢包」按钮，金币红色/经验紫色配色区分
- WebSocket 实时推送红包弹窗卡片至所有在线用户
- Redis LPOP 原子分发 + 数据库 unique 约束防重领，并发安全
- 弹窗打开自动拉取服务端最新状态（剩余数量/已领/过期实时刷新）
- 新增 GET /red-packet/{id}/status 状态查询接口
- 新增 CurrencySource::RED_PACKET_RECV / RED_PACKET_RECV_EXP 枚举
安全加固：
- 后台用户编辑/强杀按钮仅 id=1 超管可见（前端隐藏 + 后端 403 双重拦截）

app/Http/Controllers/Admin/UserManagerController.php

@@ -88,9 +88,17 @@ class UserManagerController extends Controller
      */
     public function update(Request $request, User $user): JsonResponse|RedirectResponse
     {
-        $targetUser = $user;
+        $targetUser  = $user;
         $currentUser = Auth::user();
 
+        // 超级管理员专属：仅 id=1 的账号可编辑用户信息
+        if ($currentUser->id !== 1) {
+            if ($request->wantsJson()) {
+                return response()->json(['status' => 'error', 'message' => '仅超级管理员（id=1）可编辑用户信息。'], 403);
+            }
+            abort(403, '仅超级管理员（id=1）可编辑用户信息。');
+        }
+
         // 越权防护：不能修改 等级大于或等于自己 的目标（除非修改自己）
         if ($targetUser->id !== $currentUser->id && $targetUser->user_level >= $currentUser->user_level) {
             return response()->json(['status' => 'error', 'message' => '权限不足：您无法修改同级或高级管理人员资料。'], 403);
@@ -177,9 +185,14 @@ class UserManagerController extends Controller
      */
     public function destroy(Request $request, User $user): RedirectResponse
     {
-        $targetUser = $user;
+        $targetUser  = $user;
         $currentUser = Auth::user();
 
+        // 超级管理员专属：仅 id=1 的账号可删除用户
+        if ($currentUser->id !== 1) {
+            abort(403, '仅超级管理员（id=1）可删除用户。');
+        }
+
         // 越权防护：不允许删除同级或更高等级的账号
         if ($targetUser->id !== $currentUser->id && $targetUser->user_level >= $currentUser->user_level) {
             abort(403, '权限不足：无法删除同级或高级账号！');