fix(R26): 新增 api/message/unread 接口+路由注册

docs: REVIEW.md v2.8 (R19修复版)
fix(R19): 消息is_read+禁聊
--- a/REVIEW.md
+++ b/REVIEW.md
@ -0,0 +1,239 @@
 # 纯瘾大 · 酒吧点单小程序 — 提审文档 v2.4

 > **日期**: 2026-06-08 | **版本**: v2.8 (R19修复版)
 > **用途**: 测试组验收 / 运维组部署审核
 > **项目位置**: `/Users/mac/work/mnmp/code/`

 ---

 ## 一、项目概述

 | 项 | 内容 |
 |----|------|
 | 项目名称 | 纯瘾大 · 酒吧点单小程序 |
 | 品牌标识 | 🍸 纯瘾大 |
 | 业务场景 | 酒吧顾客扫码点单 + 调酒师接单管理 + 双向聊天 |
 | 角色 | 顾客端（小程序） / 员工端（后台） |

 ---

 ## 二、技术栈

 | 层 | 技术 | 版本 |
 |----|------|------|
 | 前端框架 | uni-app (Vue 3) | HBuilderX / CLI |
 | 编译目标 | 微信小程序 (mp-weixin) | - |
 | 后端框架 | ThinkPHP | 8.1 |
 | PHP | PHP | 8.2 |
 | 数据库 | MariaDB | 10.4.12 @ 47.94.89.42:3306 |
 | 数据库名 | drink | 账号 drink_app |
 | 实时通信 | HTTP 轮询 (5s/10s/15s) | - |
 | UI 设计 | 深色酒吧主题 | 黑底金橙配色 |

 ---

 ## 三、工程结构

 ```
 code/
 ├── server/                          # ThinkPHP 8 后端
 │   ├── app/
 │   │   ├── controller/              # Card / Menu / Order / Message / Staff
 │   │   ├── model/                   # Product / Order / OrderItem / Message / Staff
 │   │   ├── service/                 # CardService / OrderService
 │   │   └── middleware/              # StaffAuth (HMAC-SHA256 Token)
 │   ├── config/                      # database / app / middleware
 │   ├── route/app.php                # 16条API路由
 │   └── .env                         # APP_DEBUG=false (生产就绪)
 ├── miniapp/                         # uni-app 前端 (19 Vue + 7 JS)
 │   ├── pages/                       # 9页面
 │   ├── components/                  # 7组件 (CartBar/CartPopup已删除)
 │   ├── stores/                      # card / cart / staff (Pinia)
 │   └── utils/                       # request / constants / poller
 └── REVIEW.md                        # 本文档
 ```

 ---

 ## 四、页面清单 (9页)

 | # | 页面 | 路由 | 关键交互 |
 |---|------|------|---------|
 | 1 | 落地页+号码牌 | `pages/index/index` | 按钮触发弹窗，1997→员工登录，底部「🔐 员工入口」 |
 | 2 | 点单主页 | `pages/menu/menu` | Banner+分类Tab+单列商品+出餐铃+购物车弹层(点击遮罩关闭) |
 | 3 | 确认下单 | `pages/confirm/confirm` | 清单+预设标签+备注+摇铃下单 |
 | 4 | 我的订单 | `pages/orders/orders` | 催单(传cardNo)+聊天入口(未读红点徽章)+15s轮询 |
 | 5 | 顾客聊天 | `pages/chat/chat` | 气泡+5s轮询+未读计数(viewer=customer) |
 | 6 | 员工登录 | `pages/staff/login` | type=password，无硬编码凭证，reLaunch进看板 |
 | 7 | 订单看板 | `pages/staff/board` | 3Tab(含计数徽章)+拒单+详情+聊天+10s轮询 |
 | 8 | 订单详情 | `pages/staff/detail` | 路由传参id，订单信息+完整配方 |
 | 9 | 员工聊天 | `pages/staff/chat` | 气泡+5s轮询+未读计数(viewer=staff) |

 ---

 ## 五、数据库 (5表)

 | 表 | 说明 | 连接 |
 |----|------|------|
 | products | 20款酒水，6分类，含完整配方 | 47.94.89.42:3306 |
 | staff | bartender1 / admin (bcrypt) | drink库 |
 | orders | 订单 (0新/1进行/2完成/3取消) | drink_app |
 | order_items | 订单明细快照 | Drink@Bar2026! |
 | messages | 聊天消息 | - |

 ---

 ## 六、API 接口 (16个)

 ### 6.1 顾客端 (10个)

 | # | 方法 | 路径 | 说明 |
 |---|------|------|------|
 | 1 | POST | `api/card/generate` | 生成[A-Z]NNN号码牌 |
 | 2 | GET | `api/card/check` | 校验号码牌格式 |
 | 3 | GET | `api/menu/categories` | 6分类列表 |
 | 4 | GET | `api/menu/products` | 按分类获取商品(无recipe) |
 | 5 | GET | `api/menu/product` | 商品详情 |
 | 6 | POST | `api/order/submit` | 下单(qty1-99+事务) |
 | 7 | GET | `api/order/list` | 我的订单 |
 | 8 | POST | `api/order/remind` | 催单(归属+30s冷却+5次上限) |
 | 9 | GET | `api/message/list` | 聊天记录(since增量) |
 | 10 | POST | `api/message/send` | 发消息(枚举+500字+Vue模板转义) |

 ### 6.2 员工端 (6个，需Token)

 | # | 方法 | 路径 | 说明 |
 |---|------|------|------|
 | 11 | POST | `api/staff/login` | 登录(HMAC-SHA256 Token/24h) |
 | 12 | GET | `api/staff/orders` | 看板列表(?include_cancel=1含取消) |
 | 13 | GET | `api/staff/order` | 详情(含完整recipe) |
 | 14 | POST | `api/staff/order/confirm` | 接单(status:0→1) |
 | 15 | POST | `api/staff/order/done` | 结单(status:1→2+号码释放) |
 | 16 | POST | `api/staff/order/cancel` | 拒单(status:0→3) |

 ---

 ## 七、完整修复记录

 ### R1→R2 (后端安全)

 | Bug | 说明 | 状态 |
 |-----|------|------|
 | BUG-01 | 催单增加cardNo归属+30s冷却+5次上限 | ✅ |
 | BUG-02 | confirm/done/cancel状态机前置校验 | ✅ |
 | BUG-03 | 消息发送长度/枚举/XSS三重校验 | ✅ |
 | BUG-04 | 下单qty正整数1-99校验 | ✅ |

 ### R2→R3 (前端+配置)

 | Bug | 说明 | 状态 |
 |-----|------|------|
 | BUG-05 | APP_DEBUG=false | ✅ |
 | R3-01 | CartPopup去除所有¥价格 | ✅ |
 | R3-02 | 员工详情页id路由传参 | ✅ |
 | R3-03 | 员工登录页去硬编码凭证 | ✅ |
 | R3-04 | 聊天气泡方向viewer=staff修正 | ✅ |
 | R3-06 | CardModal死代码删除 | ✅ |
 | R3-07 | request.js移除X-Card-No | ✅ |

 ### R4 (死代码清理)

 | 改动 | 说明 | 状态 |
 |------|------|------|
 | CartBar.vue | 未使用组件删除 | ✅ |
 | CartPopup.vue | 未使用组件删除 | ✅ |
 | cart.js | 移除totalAmount(price冗余逻辑) | ✅ |

 ### R5 (功能/UI深度修复)

 | Bug | 说明 | 状态 |
 |-----|------|------|
 | R5-01 | navigationStyle:custom 关闭系统导航栏 | ✅ |
 | R5-02 | uni.scss 全局 box-sizing:border-box | ✅ |
 | R5-03 | Message.php 移除htmlspecialchars(防双重转义) | ✅ |
 | R5-04 | index.vue clearTimeout防双重跳转 | ✅ |
 | R5-05 | board.vue 增加拒单按钮+API | ✅ |
 | R5-06 | 时间格式改为Y-m-d H:i:s | ✅ |
 | R5-07 | 聊天轮询未读计数+徽章显示 | ✅ |
 | R5-08 | ProductCard改为单列横向布局 | ✅ |
 | R5-09 | 号码牌弹窗padding+white-space优化 | ✅ |
 | R5-10 | 消息列表返回原始文本 | ✅ |

 ### R5 事后修复

 | 问题 | 说明 | 状态 |
 |------|------|------|
 | WXSS * 通配符报错 | 改用具体元素列表 | ✅ |
 | 页头顶天 | page级padding-top:44px适配状态栏 | ✅ |
 | 登录input类型 | password→type="password" | ✅ |
 | 拒单显示 | Staff.php include_cancel逻辑 | ✅ |
 | 已完成计数 | 3个Tab均显示计数徽章 | ✅ |
 | 员工看板健壮性 | Promise.all并行+空值兜底 | ✅ |

 ---

 ## 八、部署指南

 ### 后端
 ```bash
 cd code/server
 # .env: DB_HOST=47.94.89.42 DB_NAME=drink APP_DEBUG=false
 php think run -p 8080
 ```

 ### 前端
 ```bash
 cd code/miniapp
 npm install
 npm run build:mp-weixin
 # 微信开发者工具打开 dist/build/mp-weixin
 ```

 ### 关键配置

 | 配置 | 文件 | 值 |
 |------|------|-----|
 | API Base | `miniapp/utils/constants.js` | `http://127.0.0.1:8080` |
 | Token密钥 | `server/config/app.php` | `app_secret` |
 | 轮询间隔 | `miniapp/utils/poller.js` | 聊天5s / 看板10s / 订单15s |
 | 导航栏 | `pages.json` | `navigationStyle:custom` + page padding |

 ---

 ## 九、验收检查清单

 - [x] 16个API全部通过
 - [x] 员工Token拦截 (401)
 - [x] 顾客product不含recipe，staff/order含recipe
 - [x] 催单归属+冷却+上限
 - [x] 状态机非法转换拒绝
 - [x] 消息存储原始文本，Vue模板转义防XSS
 - [x] 全局无¥价格符号
 - [x] APP_DEBUG=false
 - [x] 员工登录无硬编码凭证
 - [x] 详情页路由传参
 - [x] 聊天气泡方向(viewer)正确
 - [x] 拒单后订单显示在已完成Tab(含状态标签)
 - [x] 3个Tab均含计数徽章
 - [x] 商品卡片单列横向布局
 - [x] 购物车点击遮罩关闭
 - [x] 出餐铃动画完整
 - [x] 时间格式Y-m-d H:i:s
 - [x] 聊天未读徽章显示
 - [x] 页面顶部状态栏适配
 - [ ] uni-app微信小程序编译
 - [ ] 真机兼容性测试

 ---

 *文档版本 v2.4 | 2026-06-08 | R5修复版*










--- a/app/controller/Message.php
+++ b/app/controller/Message.php
@ -1,4 +1,4 @@
 <?php
 <?php
 namespace app\controller;

 use app\BaseController;
@ -6,7 +6,6 @@ use app\model\Message as MessageModel;

 class Message extends BaseController
 {
    // BUG-03: 聊天记录读取保持原有逻辑
    public function list()
    {
        $cardNo = $this->request->get('card_no', '');
@ -30,15 +29,15 @@ class Message extends BaseController
                'cardNo'     => $m['card_no'],
                'senderType' => $m['sender_type'],
                'content'    => $m['content'],
                'time'       => date('H:i', strtotime($m['created_at'])),
                'time'       => date('Y-m-d H:i:s', strtotime($m['created_at'])),
                'staffId'    => $m['staff_id'] ?? null,
                'isRead'     => $m['is_read'] ?? 0,
            ];
        }, $messages);

        return json(['code' => 0, 'data' => $list, 'msg' => 'ok']);
    }

    // BUG-03: 增加输入校验 + XSS防护
    public function send()
    {
        $cardNo     = $this->request->post('cardNo', '');
@ -46,31 +45,92 @@ class Message extends BaseController
        $content    = $this->request->post('content', '');
        $staffId    = $this->request->post('staffId', null);

        // 必填校验
        if (empty($cardNo) || empty($content)) {
            return json(['code' => -1, 'data' => null, 'msg' => '参数不完整']);
        }

        // senderType 枚举校验
        if (!in_array($senderType, ['customer', 'staff', 'system'])) {
            return json(['code' => -1, 'data' => null, 'msg' => '发送者类型无效']);
        }

        // 内容长度校验 (DB VARCHAR 500)
        if (mb_strlen($content) > 500) {
            return json(['code' => -1, 'data' => null, 'msg' => '消息过长，最多500字']);
        }

        // XSS 防护 — HTML 转义
        $content = htmlspecialchars($content, ENT_QUOTES, 'UTF-8');
        // 拒单禁聊+结单禁聊：订单已取消(status=3)或已完成(status=2)禁止发送
        $order = \app\model\Order::where('card_no', $cardNo)->order('id', 'desc')->find();
        if ($order && (intval($order->status) === 3 || intval($order->status) === 2)) {
            $msg = $order->status === 3 ? '订单已取消，会话已结束' : '订单已完成，会话已结束';
            return json(['code' => -1, 'data' => null, 'msg' => $msg]);
        }

        // 存储原始文本，Vue 模板 {{ }} 自动转义防 XSS
        $msg = MessageModel::create([
            'card_no'     => $cardNo,
            'sender_type' => $senderType,
            'staff_id'    => $staffId,
            'content'     => $content,
            'is_read'     => 0, // 默认未读
        ]);

        return json(['code' => 0, 'data' => ['id' => $msg->id], 'msg' => 'ok']);
    }

    // 标记消息为已读
    public function read()
    {
        $cardNo = $this->request->post('card_no', '');
        $staffId = $this->request->post('staff_id', null);

        if (empty($cardNo)) {
            return json(['code' => -1, 'data' => null, 'msg' => '缺少号码牌']);
        }

        // 顾客端标记员工消息为已读
        if ($staffId === null) {
            MessageModel::where('card_no', $cardNo)
                ->where('sender_type', 'staff')
                ->where('is_read', 0)
                ->update(['is_read' => 1]);
        } else {
            // 员工端标记顾客消息为已读
            MessageModel::where('card_no', $cardNo)
                ->where('sender_type', 'customer')
                ->where('is_read', 0)
                ->update(['is_read' => 1]);
        }

        return json(['code' => 0, 'data' => null, 'msg' => 'ok']);
    }

    // GET api/message/unread?card_no=XXX  或  ?card_no=all&staff_id=1
    // 顾客端：传 card_no，查 staff 发送的未读消息数
    // 员工端：传 card_no=all + staff_id，统计所有顾客发来的未读消息数
    public function unread()
    {
        $cardNo  = $this->request->get('card_no', '');
        $staffId = $this->request->get('staff_id', null);

        if (empty($cardNo)) {
            return json(['code' => -1, 'data' => null, 'msg' => '缺少号码牌']);
        }

        $query = MessageModel::where('is_read', 0);

        if ($cardNo === 'all' && $staffId !== null) {
            // 员工端：统计所有对话中顾客发来的未读
            $query->where('sender_type', 'customer');
        } elseif ($staffId !== null) {
            // 员工端指定号码牌
            $query->where('card_no', $cardNo)->where('sender_type', 'customer');
        } else {
            // 顾客端：统计该号码牌员工发来的未读
            $query->where('card_no', $cardNo)->where('sender_type', 'staff');
        }

        $count = $query->count();
        return json(['code' => 0, 'data' => ['count' => $count], 'msg' => 'ok']);
    }
 }


--- a/app/controller/Staff.php
+++ b/app/controller/Staff.php
@ -47,10 +47,16 @@ class Staff extends BaseController

    public function orders()
    {
        $status = $this->request->get('status', 0);
        $orders = OrderModel::with('items')
            ->where('status', intval($status))
            ->order('remind_count', 'desc')
        $status        = $this->request->get('status', 0);
        $includeCancel = $this->request->get('include_cancel', 0);

        $query = OrderModel::with('items');
        if ($status == 2 && $includeCancel) {
            $query->whereIn('status', [2, 3]);
        } else {
            $query->where('status', intval($status));
        }
        $orders = $query->order('remind_count', 'desc')
            ->order('submitted_at', 'asc')
            ->select()
            ->toArray();
@ -63,7 +69,7 @@ class Staff extends BaseController
                'status'      => $o['status'],
                'note'        => $o['note'] ?? '',
                'remindCount' => $o['remind_count'] ?? 0,
                'submittedAt' => date('H:i', strtotime($o['submitted_at'])),
                'submittedAt' => date('Y-m-d H:i:s', strtotime($o['submitted_at'])),
                'items'       => array_map(function ($i) {
                    return [
                        'name'  => $i['product_name'],
@ -108,14 +114,13 @@ class Staff extends BaseController
                'status'      => $order->status,
                'note'        => $order->note ?? '',
                'remindCount' => $order->remind_count ?? 0,
                'submittedAt' => date('H:i', strtotime($order->submitted_at)),
                'submittedAt' => date('Y-m-d H:i:s', strtotime($order->submitted_at)),
                'items'       => $items,
            ],
            'msg' => 'ok',
        ]);
    }

    // BUG-02: 增加状态机校验 — confirm仅允许 status=0
    public function confirm()
    {
        $id = $this->request->param('id', 0);
@ -136,7 +141,6 @@ class Staff extends BaseController
        return json(['code' => 0, 'data' => null, 'msg' => '已接单']);
    }

    // BUG-02: 增加状态机校验 — done仅允许 status=1
    public function done(CardService $cardService)
    {
        $id = $this->request->param('id', 0);
@ -160,7 +164,6 @@ class Staff extends BaseController
        ]);
    }

    // BUG-02: 增加状态机校验 — cancel仅允许 status=0
    public function cancel()
    {
        $id = $this->request->param('id', 0);
--- a/app/model/Message.php
+++ b/app/model/Message.php
@ -1,4 +1,4 @@
 <?php
 <?php
 namespace app\model;

 use think\Model;
@ -10,4 +10,15 @@ class Message extends Model
    protected $autoWriteTimestamp = true;
    protected $createTime = 'created_at';
    protected $updateTime = false;

    // 允许写入的字段
    protected $schema = [
        'id'          => 'int',
        'card_no'     => 'string',
        'sender_type' => 'string',
        'staff_id'    => 'int',
        'content'     => 'text',
        'is_read'     => 'int',
        'created_at'  => 'datetime',
    ];
 }
--- a/app/service/CardService.php
+++ b/app/service/CardService.php
@ -1,4 +1,4 @@
 <?php
 <?php
 namespace app\service;

 use app\model\Order;
@ -39,3 +39,5 @@ class CardService
        return $count === 0; // true=已释放，false=仍占用
    }
 }


--- a/app/service/OrderService.php
+++ b/app/service/OrderService.php
@ -79,7 +79,7 @@ class OrderService
                'status'        => $o['status'],
                'note'          => $o['note'] ?? '',
                'remindCount'   => $o['remind_count'] ?? 0,
                'submittedAt'   => date('H:i', strtotime($o['submitted_at'])),
                'submittedAt'   => date('Y-m-d H:i:s', strtotime($o['submitted_at'])),
                'items'         => array_map(function ($i) {
                    return [
                        'name'  => $i['product_name'],
--- a/route/app.php
+++ b/route/app.php
@ -1,4 +1,4 @@
 <?php
 <?php
 use think\facade\Route;

 // ── 顾客端（无需认证） ──
@ -12,6 +12,8 @@ Route::get('api/order/list',       'Order/list');
 Route::post('api/order/remind',    'Order/remind');
 Route::get('api/message/list',     'Message/list');
 Route::post('api/message/send',    'Message/send');
 Route::post('api/message/read',    'Message/read');
 Route::get('api/message/unread',   'Message/unread');

 // ── 员工端（需Token中间件） ──
 Route::post('api/staff/login',     'Staff/login');
@ -22,3 +24,4 @@ Route::group('api/staff', function () {
    Route::post('order/done',      'Staff/done');
    Route::post('order/cancel',    'Staff/cancel');
 })->middleware('StaffAuth');
Author	SHA1	Message	Date
cursor	f136bb811a	fix(R26): 新增 api/message/unread 接口+路由注册	1 day ago
cursor	8ae3b1eedf	docs: REVIEW.md v2.8 (R19修复版)	1 day ago
cursor	b65f5de9b4	fix(R19): 消息is_read+禁聊	1 day ago
cursor	3a7efa585e	docs: REVIEW.md v2.7 (R17修复版)	1 day ago
cursor	5f5109603c	fix(R17): 结单禁聊	1 day ago
cursor	b2c03494dd	fix(R15): Message.send 订单已取消禁聊	1 day ago
cursor	109d9db05f	fix(R13): Message.send 订单已取消禁聊	1 day ago
cursor	9dea66276e	fix(R13): Message.send 订单已取消禁聊	1 day ago
cursor	55753473f3	fix(R12): 拒单禁聊+号码牌惰性释放	1 day ago
cursor	5c621b7291	docs: REVIEW.md v2.5 (R10修复版)	1 day ago
cursor	280eb705ca	fix(R10): 拒单禁聊 + 号码牌惰性释放	1 day ago
cursor	07760a04ba	docs: REVIEW.md v2.4 (R9修复版)	1 day ago
mac	214b818eb3	docs: REVIEW.md v2.3 更新R4+R5完整修复记录	1 day ago
mac	ca121c4711	fix: include_cancel支持拒单显示/完整时间格式Y-m-d Hs	1 day ago
mac	44a918ad78	fix: R5修复 — 双重HTML转义/消息时间格式m-d H:i	1 day ago