ClassManager/.cospec/plan/changes/fix-admin-multi-issues/task.md

实施

阶段 1：统一导航栏

• 1.1 创建统一导航栏模板 【目标对象】frontend/includes/nav.php（新建） 【修改目的】将所有 admin 页面硬编码的导航栏抽取为共享模板，解决各页面导航不一致的问题；同时修复 dashboard.php 中密码链接 passwork.php 的拼写错误 【修改方式】新建 PHP 文件，定义导航栏 HTML 结构，直接读取 $role 和 $current_page 变量（已由 header.php 第 17-19 行定义）来动态生成导航项和 active 状态 【相关依赖】frontend/includes/header.php（第 17-19 行已定义 $current_page、$user_type、$role 变量，在 include nav.php 之前已可用） 【修改内容】 - 直接使用 $role 和 $current_page 变量（无需参数传递，因为 header.php 在 nav.php 之前被 include） - 导航项及角色条件统一为： - 首页（dashboard）：所有管理员可见 - 学生管理（students）：所有管理员可见 - 操行分管理（conduct）：$role==='班主任' || $role==='班长' - 作业管理（homework）：$role==='班主任' || $role==='学习委员' - 考勤管理（attendance）：$role==='班主任' || $role==='考勤委员' - 科目管理（subjects）：$role==='班主任' || $role==='学习委员' - 管理员管理（admins）：$role==='班主任' - 历史记录（history）：所有管理员可见 - 修改密码（password）：所有管理员可见 - 根据 $current_page（值为不含 .php 后缀的文件名，如 dashboard、students）为当前页面对应的导航项添加 active class - 密码链接统一写为 password.php（修复 dashboard 中 passwork.php 拼写错误） - 导航栏外层容器沿用现有 <div class="nav"> 结构

• 1.2 各 admin 页面引入统一导航模板 【目标对象】所有 frontend/admin/*.php 页面 【修改目的】移除各页面硬编码的 <div class="nav">...</div> 块，替换为 include nav.php，统一导航栏 【修改方式】在以下每个页面中，找到 <div class="nav"> 到对应的 </div> 之间的导航栏块，整块替换为 <?php include __DIR__ . '/../includes/nav.php'; ?> 【相关依赖】frontend/includes/nav.php（任务 1.1 创建） 【修改内容】 - frontend/admin/dashboard.php：替换第 25-43 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/students.php：替换第 25-43 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/conduct.php：替换第 31-47 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/homework.php：替换第 31-47 行的 <div class="nav">...</div> 为 include nav.php（注意：此页面后续会在任务 2.2 完全重写，此处仅替换导航栏部分） - frontend/admin/attendance.php：替换第 31-47 行的 <div class="nav">...</div> 为 include nav.php（注意：此页面后续会在任务 3.3 完全重写，此处仅替换导航栏部分） - frontend/admin/history.php：替换第 25-43 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/subjects.php：替换第 30-48 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/admins.php：替换第 30-46 行的 <div class="nav">...</div> 为 include nav.php - frontend/admin/password.php：替换第 25-43 行的 <div class="nav">...</div> 为 include nav.php - 替换后需确认 include 语句位于 include header.php; 之后、页面主体内容之前

阶段 2：作业管理改版

• 2.1 清理 admin.js 中废弃的作业管理函数 【目标对象】frontend/assets/js/admin.js 【修改目的】移除作业管理改版后不再使用的旧作业管理函数，避免全局函数污染和潜在冲突 【修改方式】删除第 174-220 行的三个函数：showAddAssignmentModal()、loadSubjectsForSelect()、submitAddAssignment() 【相关依赖】无（homework.php 将在任务 2.2 完全重写，不再依赖这些全局函数） 【修改内容】 - 删除第 174-178 行的 showAddAssignmentModal() 函数 - 删除第 180-192 行的 loadSubjectsForSelect() 函数 - 删除第 194-220 行的 submitAddAssignment() 函数 - 注意：admin.js 中其他通用函数（如 submitBatchPoints()、closeModal()、escapeHtml()、toggleSelectAll()）保持不变，仍被 conduct.php 和 students.php 使用

• 2.2 重写作业管理前端页面 【目标对象】frontend/admin/homework.php 【修改目的】将作业发布/提交管理模式改为单纯的加减操行分模式，交互方式参照 conduct.php 【修改方式】完全重写页面 HTML 内容和 <script> 中的 JavaScript 逻辑（保留文件头部的 PHP 鉴权部分和 include 结构） 【相关依赖】 - frontend/includes/nav.php（任务 1.1，导航栏引入） - frontend/assets/js/admin.js（提供 submitBatchPoints()、showBatchPointsModal()、closeModal()、escapeHtml()、toggleSelectAll() 等全局复用函数） - 后端 API GET /api/admin/students（加载学生列表，参见 conduct.php 第 77-95 行的 loadStudents() 调用方式） - 后端 API POST /api/admin/conduct/add（加减分接口，请求体：{ student_ids: number[], points_change: number, reason: string }） 【修改内容】 - 角色权限判断（第 23 行）统一为 in_array($role, ['班主任', '学习委员'])（之前是 科代表，与后端 admin.py 第 228 行的角色检查一致） - 移除发布作业按钮和发布作业模态框 - 移除作业列表和提交记录展示 - 新增学生列表表格（列：复选框、学号、姓名、当前操行分、操作-加减分按钮），参照 conduct.php 第 57-71 行的表格结构 - 新增批量加减分模态框（复用 conduct.php 第 116-143 行和 students.php 第 214-241 行的 batchPointsModal 模态框结构），包含： - 已选学生数量显示 - 扣分类型快捷选择：未交作业(-2分)、迟交作业(-1分)、自定义（选择后自动填入分数变动输入框） - 分数变动输入框（支持正数加分、负数扣分） - 原因输入框（textarea） - 确认提交按钮 - 页面级 JS 中定义 let selectedStudentIds = []; 和 loadStudents()、showSinglePointsModal() 函数（与 conduct.php 和 students.php 的页面级变量风格一致） - 提交时复用 admin.js 中已有的 submitBatchPoints() 函数（该函数调用 POST /api/admin/conduct/add），reason 字段格式如 "[作业扣分] 未交作业 - 原因内容" 以区分来源 - 错误处理遵循仓库既有风格：调用 apiPost() 后检查 res.success，失败时使用 showToast(res.message || '操作失败', 'error') 提示（参见 admin.js 第 57-64 行的 submitBatchPoints 错误处理模式） - 加载学生列表失败时，在表格区域显示错误提示文本

阶段 3：考勤管理改版

• 3.1 清理 admin.js 中废弃的考勤管理函数 【目标对象】frontend/assets/js/admin.js 【修改目的】移除考勤管理改版后不再使用的旧考勤添加函数，避免全局函数污染和潜在冲突 【修改方式】删除原始文件第 222-268 行的三个函数（因任务 2.1 已删除第 174-220 行，实际操作时行号已前移约 47 行，请按函数名定位）：showAddAttendanceModal()、loadStudentsForSelect()、submitAddAttendance() 【相关依赖】任务 2.1（先删除作业相关函数，行号会偏移） 【修改内容】 - 删除 showAddAttendanceModal() 函数（原始第 222-227 行） - 删除 loadStudentsForSelect() 函数（原始第 229-238 行） - 删除 submitAddAttendance() 函数（原始第 241-268 行） - 建议按函数名搜索定位删除，而非依赖行号 - 注意：attendance.php 页面重写后，所有考勤相关 JS 逻辑将在页面级 <script> 中定义，不依赖 admin.js 中的旧函数

• 3.2 新增考勤方格网格 CSS 样式 【目标对象】frontend/assets/css/admin.css 【修改目的】为考勤页面的学生方格网格提供样式 【修改方式】在文件末尾追加新样式规则 【相关依赖】无 【修改内容】 - .student-grid 容器：display: flex; flex-wrap: wrap; gap: 10px; 布局 - .student-cell 方格：width: calc(100% / 7 - 10px);（每行 7 个），带边框、圆角、居中文字、内边距、cursor: pointer - .student-cell.selected 选中状态：红色/粉色背景高亮（如 background: #fee2e2; border-color: #ef4444;） - .student-cell.has-record 已有考勤记录标记：灰色虚线边框（如 border: 2px dashed #9ca3af;），用于标识当天已有考勤记录的学生 - .student-cell:hover 悬停效果：浅色背景变化 - .attendance-toolbar 工具栏样式：flex 布局，按钮间距 - 移动端响应式：小屏幕下 .student-cell 宽度调整为 calc(100% / 4 - 10px) 或更宽

• 3.3 重写考勤管理前端页面 【目标对象】frontend/admin/attendance.php 【修改目的】将单个学生下拉选择模式改为学生方格网格模式（一行 7 个），选中扣分制 【修改方式】完全重写页面 UI 和 <script> 中的 JavaScript 逻辑（保留文件头部的 PHP 鉴权部分和 include 结构） 【相关依赖】 - frontend/includes/nav.php（任务 1.1，导航栏引入） - frontend/assets/css/admin.css（任务 3.2，方格网格样式） - 后端 API GET /api/admin/students（加载学生列表） - 后端 API POST /api/admin/attendance（添加考勤记录，请求体：{ student_id: number, date: string, status: string, reason?: string, apply_deduction: boolean }） - 后端 API GET /api/admin/attendance/records（查询考勤记录，参数：{ date: string }） 【修改内容】 - 页面顶部工具栏：日期选择器（默认当天）+ 考勤状态选择（缺勤/迟到/请假单选按钮组）+ 原因输入框 - 主体区域：加载所有学生，以方格网格展示（使用 .student-grid 容器和 .student-cell 方格） - 每个方格显示学生姓名，点击切换选中/取消状态（添加/移除 .selected class） - 底部工具栏：全选按钮 + 取消全选按钮 + 提交按钮 - 提交逻辑：遍历所有选中的学生，对每个学生调用 POST /api/admin/attendance，参数为 { student_id, date, status, reason, apply_deduction: true } - 提交过程中的错误处理：使用 Promise.allSettled() 并发提交，提交完成后汇总成功/失败数量，使用 showToast() 提示结果（与仓库既有风格一致） - 重复考勤记录边界处理：后端 AttendanceService.add_attendance 不检查同一学生同一天是否已有考勤记录，允许重复提交。前端在提交前先调用 GET /api/admin/attendance/records 获取当天已有记录，对已有考勤记录的学生在方格上添加视觉标记（如 .has-record 样式，灰色虚线边框），并在提交时 confirm() 提示"以下学生已有考勤记录，是否继续提交？" - 下方保留历史考勤记录表格：调用 GET /api/admin/attendance/records 查询指定日期的记录并渲染（参照现有 attendance.php 第 112-131 行的渲染逻辑） - 移除原有的单个学生下拉选择添加考勤模态框 - 加载学生列表失败时，在网格区域显示错误提示文本 - 错误提示风格遵循仓库既有模式：使用 showToast(message, 'error') 函数

阶段 4：家长手机号权限控制

• 4.1 家长手机号权限控制

阶段 5：扣分规则配置化

• 5.1 作业和考勤扣分规则配置化 【目标对象】frontend/.env.example、frontend/config.php、frontend/includes/header.php、frontend/admin/homework.php、frontend/admin/attendance.php 【修改目的】将作业和考勤的默认扣分量从 .env 文件配置，前端快捷按钮动态读取配置值，作业加减分有上限限制 【修改方式】 - .env.example 新增6个扣分配置项（有默认值） - config.php 读取并 define 为常量 - header.php 注入到 JS 全局变量 - homework.php 快捷按钮使用配置值 + 自定义输入 + ±HOMEWORK_MAX_POINTS 限制 - attendance.php 状态按钮使用配置值

阶段 6：CORS 跨域拦截修复

• 6.1 注册 AuthMiddleware 为全局中间件并修复 CORS 执行顺序 【目标对象】backend/main.py、backend/middleware/auth_middleware.py 【修改目的】修复 CORS 跨域拦截问题：AuthMiddleware 未注册导致 request.state 属性缺失，路由层 500 错误被浏览器误报为 CORS 错误 【修改方式】 - auth_middleware.py: dispatch 方法顶部添加 OPTIONS 请求跳过逻辑 - main.py: 注册 AuthMiddleware 为全局中间件（先注册后执行），CORS 在 Auth 之后注册（后注册先执行） - main.py: 添加 CORS 配置启动日志和空值警告 【中间件执行顺序】CORS → Auth → access_log → 路由 【后续修复】将 AuthMiddleware 从 BaseHTTPMiddleware 改为纯 ASGI 中间件，解决 BaseHTTPMiddleware 提前返回响应时 CORS 头丢失的问题 【目标对象】frontend/admin/students.php 【修改目的】除班主任角色外，隐藏家长手机号列的显示内容，保护隐私 【修改方式】在表头 HTML 和 JS 渲染处添加 $role 判断 【相关依赖】$_SESSION['role']（已存储在 $role 变量中，由各页面顶部从 session 读取） 【修改内容】 - 第 68 行表头处：<th>家长手机号</th> 改为 <?php if ($role === '班主任'): ?><th>家长手机号</th><?php endif; ?>（表头列有条件显示） - 在页面 <script> 标签开头注入角色信息：const userRole = '<?php echo $role; ?>'; - 第 148 行 JS 渲染处：<td>${student.parent_phone || '-'}</td> 改为根据 userRole 判断渲染内容：班主任显示真实手机号，其他角色显示 *** - 第 156 行空数据提示处：colspan="6" 需根据角色动态调整——班主任 6 列，非班主任 5 列（可用 PHP 输出：colspan="<?php echo $role === '班主任' ? '6' : '5'; ?>"） - 新增学生表单（第 101-129 行）和导入学生功能中的手机号字段保持不变，任何有学生管理权限的角色都能录入（与 proposal 一致）

阶段 7：修复 AuthMiddleware 401 无限循环

• 7.1 AuthMiddleware 添加调试日志和修复潜在问题 【目标对象】backend/middleware/auth_middleware.py 【修改目的】修复 401 无限循环问题。当前 AuthMiddleware 注册为全局中间件后，所有非公开路径的请求都需要 JWT 认证，但缺少详细日志无法定位 Token 验证失败的具体原因。需要添加详细日志并修复 OPEN_PATHS 未被检查的 Bug。 【修改方式】在 dispatch 方法中添加每个认证步骤的调试日志，修复 OPEN_PATHS 逻辑，添加更多公开路径 【修改内容】 - 在 dispatch 方法中每个关键检查点添加 logger.debug 日志： 1. 请求路径和方法 2. Authorization header 是否存在 3. JWT 验证结果（成功时记录 user_id，失败时记录原因） 4. Redis Token 查询结果（stored_token 是否存在、是否匹配） - 修复 OPEN_PATHS 未被检查的 Bug：在 is_public_path 检查后增加 OPEN_PATHS 检查，OPEN_PATHS 中的路径跳过 Token 验证但仍继续到路由层 - 将 /api/auth/me 和 /api/auth/change-password 添加到 PUBLIC_PATHS（目前 OPEN_PATHS 逻辑未被 dispatch 使用，导致这些路径被拦截） - _cors_response 方法中的 allowed_origins 改为从 config.settings 读取，而非硬编码

• 7.2 前端 common.js 添加 401 防循环机制 【目标对象】frontend/assets/js/common.js 【修改目的】防止 401 响应导致的无限刷新循环。当前 apiRequest 在收到 401 时直接 clearAuth + redirect，如果用户重新登录后 Token 仍然无效（如 Redis 重启），会形成 401 → 登录 → 401 → 登录的无限循环。 【修改方式】在 401 处理逻辑中添加防循环机制 【修改内容】 - 在 401 处理中添加路径判断：如果当前已在 /index.php（登录页），不执行重定向 - 添加重定向频率限制：使用 sessionStorage 记录最近一次 401 重定向时间，如果 5 秒内重复 401，停止重定向并在控制台输出警告 - 清除认证信息后，在跳转前添加延迟或在 URL 中添加标记参数，防止浏览器缓存导致的循环

阶段 8：修复 302 循环 - 401 时同步清除 PHP Session

• 8.1 修复 302 循环 - 401 时同步清除 PHP Session 【目标对象】frontend/assets/js/common.js 【修改目的】修复 PHP Session 与 JWT Token 不同步导致的 302 无限重定向循环。当 JWT Token 无效（如后端重启后 Redis 清空）导致 API 返回 401 时，clearAuth() 只清除了 localStorage 中的 JWT Token，但 PHP Session 仍然有效，导致 index.php 第 15-23 行检测到有效 Session 后又 302 重定向到 dashboard，形成循环。 【修改方式】在 apiRequest 函数的 401 处理逻辑中，clearAuth() 之后增加对 /api/clear_session.php 的 POST 调用，以同步清除 PHP Session 【修改内容】 - 在 clearAuth() 调用后、路径检查之前，添加 fetch('/api/clear_session.php', { method: 'POST', headers: { 'Content-Type': 'application/json' } }) 调用 - 使用 try-catch 包裹，失败时仅输出 console.warn 警告，不阻塞后续重定向逻辑 - /api/clear_session.php 是同源路径（由 Nginx 直接处理，不经过后端 FastAPI），不需要 Authorization header，也不会触发跨域问题

阶段 9：修复 500 响应 CORS 头丢失 + admin.js 变量重复声明

• 9.1 修复 500 响应 CORS 头丢失 【目标对象】backend/middleware/auth_middleware.py 【修改目的】当路由层抛出异常导致 500 时，BaseHTTPMiddleware 的 call_next 返回的 500 响应不会经过 CORSMiddleware，导致 CORS 头缺失。浏览器报告"CORS Missing Allow Origin"，前端无法读取错误信息。 【修改方式】在 dispatch 方法中将 return await call_next(request) 改为 try-except 包裹，确保所有响应都有 CORS 头 【修改内容】 - 用 try-except 包裹 call_next(request) 调用 - 在 try 中获取 response 后检查是否已有 CORS 头，若无则补充 - 在 except 中捕获路由层异常，返回带 CORS 头的 500 响应

• 9.2 修复 admin.js selectedStudentIds 重复声明 【目标对象】frontend/assets/js/admin.js、frontend/admin/conduct.php、frontend/admin/homework.php 【修改目的】admin.js 通过 footer.php 在所有 admin 页面加载，其 let selectedStudentIds = [] 与 conduct.php 和 homework.php 页面级 <script> 中的同名声明冲突，导致 SyntaxError 【修改方式】将 let 改为 var，var 允许重复声明 【修改内容】 - admin.js 第12-16行：let → var（4个变量声明） - conduct.php 第59行：let selectedStudentIds = [] → var selectedStudentIds = [] - homework.php 第94行：let selectedStudentIds = [] → var selectedStudentIds = []

阶段 10：修复 500 Internal Server Error - SQL 引用不存在的 class_id 列

• 10.1 修复代码与数据库 schema 不匹配问题（13个文件）

阶段 11：修复 422 参数校验 + JS 变量重复声明 + RANK() 兼容性

• 11.1 修复历史记录页 422 和 JS 变量声明问题
• 11.2 修复首页 RANK() OVER 窗口函数兼容性

阶段 12：全面项目审查 - 消灭潜在问题

• 12.1 修复后端角色名"科代表"→"学习委员"（3处）+ 存储过程缺失 + 权限逻辑 + security工具类 【目标对象】backend/services/conduct_service.py、backend/services/homework_service.py、backend/models/conduct.py、backend/middleware/permission.py、backend/utils/security.py 【修改目的】1) "科代表"角色在数据库ENUM中不存在，应为"学习委员"；2) revoke_conduct_record存储过程在init.sql中不存在，需替换为内联SQL；3) get_user_subject_ids方法逻辑顺序有误；4) validate_points_change返回类型不一致 【修改方式】 - conduct_service.py 第58行: elif role in ["科代表", "考勤委员"]: → elif role in ["学习委员", "考勤委员"]: - homework_service.py 第35行: elif role == "科代表": → elif role == "学习委员": - homework_service.py 第82行: if role == "科代表": → if role == "学习委员": - conduct.py revoke_record方法: 替换 call_procedure('revoke_conduct_record', ...) 为内联SQL: UPDATE conduct_records SET is_revoked=1, revoked_by=%s, revoked_at=NOW() WHERE record_id=%s，使用 execute_update 执行 - permission.py get_user_subject_ids: 调整逻辑顺序，先检查role_type是否为班主任，再检查subject_id - security.py 第126行: return f"单次分值变动不能超过{max_abs}分" → return False, f"单次分值变动不能超过{max_abs}分"

• 12.2 修复前端学生端/家长端关键问题 + 管理端小问题 + 配置修复 【目标对象】frontend/student/dashboard.php、frontend/api/save_session.php、frontend/index.php、frontend/student/attendance.php、frontend/admin/homework.php、frontend/config.php、frontend/student/conduct_history.php 【修改目的】1) student/dashboard.php的common.js加载顺序错误导致API函数未定义；2) save_session.php将user_id错误存储为student_id；3) student/dashboard.php中hw.subject字段名错误；4) homework.php重复调用loadStudents；5) config.php中ICP_ENABLED逻辑反转；6) conduct_history.php文件为空 【修改方式】 - student/dashboard.php: 将 <script src="/assets/js/common.js"></script> 移到内联script之前；删除局部 const API_BASE_URL 和 const JWT_STORAGE_KEY/USER_STORAGE_KEY，改用 window.API_BASE_URL = '<?php echo API_BASE_URL; ?>' 等全局变量（在common.js加载之前设置）；将 hw.subject 改为 hw.subject_name - save_session.php: 第106行 $_SESSION['student_id'] = $data['user_id']; 改为从请求中获取实际student_id：$_SESSION['student_id'] = $data['student_id'] ?? $data['user_id'];；同时添加student_id到requiredFields验证（仅学生时必须） - index.php: 登录成功后save_session调用中添加 student_id: userData.student_id 参数 - student/attendance.php: 第21行 $student_id = $_SESSION['student_id']; 保持不变（修复save_session后此值会正确） - admin/homework.php: 删除第176行重复的 loadStudents(); 调用 - config.php: 第61行 define('ICP_ENABLED', $config['ICP_ENABLED'] === 'false'); 改为 define('ICP_ENABLED', $config['ICP_ENABLED'] !== 'false'); - student/conduct_history.php: 文件为空，需要重定向到dashboard或创建基本页面。最简方案：创建一个重定向到 /student/dashboard.php 的页面 【目标对象】backend/models/attendance.py、backend/services/attendance_service.py、backend/models/conduct.py、backend/services/conduct_service.py、backend/models/homework.py、backend/services/homework_service.py、backend/models/student.py、backend/middleware/permission.py、backend/services/auth_service.py、backend/schemas/student.py、backend/schemas/admin.py、backend/services/student_service.py、backend/routes/student.py 【修改目的】数据库 schema（单班级系统）中 students 和 assignments 表没有 class_id 列，但后端代码中大量 SQL 引用了该列，导致 MySQL 报错 → 500 Internal Server Error。同时 PermissionChecker.get_user_subject_ids() 和 check_can_manage_student() 方法不存在但被调用。 【修改方式】全面移除所有 class_id 引用（单班级系统不需要），添加缺失的方法 【修改内容】 - attendance.py: get_class_records 移除 class_id 参数和 WHERE 条件 - attendance_service.py: 移除 class_id 传参和 check_can_manage_student 调用 - conduct.py: 移除 class_id 过滤条件 - conduct_service.py: 移除 class_id 传参和 check_can_manage_student 调用 - homework.py: 所有方法移除 class_id，get_assignments_by_class 重命名为 get_all_assignments - homework_service.py: 移除 class_id 传参 - student.py: create 方法移除 class_id 参数和 INSERT 列 - permission.py: 添加 get_user_subject_ids 和 check_can_manage_student 方法 - auth_service.py: 移除 class_id 和 class_name 引用 - schemas/student.py 和 schemas/admin.py: 移除 class_id 和 class_name 字段 - student_service.py 和 routes/student.py: 移除 class_id 参数

• 12.3 修复CRITICAL: total_points在所有Service中从未更新（操行分系统完全失效） 【目标对象】backend/services/conduct_service.py、backend/services/attendance_service.py、backend/services/homework_service.py 【修改目的】StudentModel.update_total_points() 方法已存在但从未被调用，导致 students.total_points 永远保持初始值60分，排行榜、仪表盘、家长端显示的所有总分都是错误的 【修改方式】 - conduct_service.py add_points: 在 ConductModel.create_record() 后添加 await StudentModel.update_total_points(student_id, points_change) - conduct_service.py revoke_record: 重写撤销逻辑，先获取原记录，撤销后调用 await StudentModel.update_total_points(record["student_id"], -record["points_change"]) 反向恢复总分 - attendance_service.py add_attendance: 在 ConductModel.create_record() 后添加 await StudentModel.update_total_points(student_id, points_change) - homework_service.py update_submission_status: 在 ConductModel.create_record() 后添加 await StudentModel.update_total_points(submission["student_id"], points_change)

• 12.4 修复前端: student/homework.php字段名 + nav.php劳动委员 + parent/attendance.php死链 【目标对象】frontend/student/homework.php、frontend/includes/nav.php、frontend/parent/attendance.php 【修改目的】1) homework.php中hw.subject字段名与后端API不匹配；2) 劳动委员无法在导航栏看到操行分管理入口（README要求±1分权限）；3) parent/attendance.php有指向不存在的/parent/homework.php的死链接 【修改方式】 - student/homework.php 第56行: hw.subject → hw.subject_name - nav.php 第4行: 添加 || $role === '劳动委员' 到操行分管理导航条件 - parent/attendance.php: 删除指向不存在的 /parent/homework.php 的死链接，导航只保留"首页"和"考勤记录"

• 12.5 修复学生端导航死链接: 3个页面的"操行分"链接指向不存在的/student/conduct.php 【目标对象】frontend/student/homework.php、frontend/student/attendance.php、frontend/student/password.php 【修改目的】学生端3个子页面导航栏中的"操行分"链接指向 /student/conduct.php，但实际文件名是 conduct_history.php，导致404 【修改方式】 - password.php 第26行: /student/conduct.php → /student/conduct_history.php

• 12.6 修复劳动委员页面级权限被拦截 + 仪表盘快捷操作缺失 【目标对象】frontend/admin/conduct.php、frontend/admin/dashboard.php 【修改目的】README规定劳动委员有操行分管理权限（±1分），但conduct.php页面级权限检查只允许班主任和班长访问，劳动委员会被重定向到dashboard；dashboard.php快捷操作也缺少劳动委员 【修改方式】 - conduct.php 第23行: ['班主任', '班长'] → ['班主任', '班长', '劳动委员'] - conduct.php 第115行: 分数变动提示文字改为 if/elseif/else 结构，劳动委员显示"劳动委员仅限±1分" - dashboard.php 第61行: 快捷操作条件添加劳动委员 - attendance.php 第27行: /student/conduct.php → /student/conduct_history.php - password.php 第26行: /student/conduct.php → /student/conduct_history.php

• 12.7 同步学生端dashboard.php页眉（使用header.php/footer.php） 【目标对象】frontend/student/dashboard.php 【修改目的】学生端dashboard.php使用自定义HTML结构，与管理端不统一，缺少共享页眉和ICP备案号 【修改方式】 - 移除自定义的 <!DOCTYPE html>, <head>, <body> 和自定义 header div - 添加 $page_title = '学生端'; include __DIR__ . '/../includes/header.php'; - 移除重复的 window.API_BASE_URL 等变量设置（header.php已处理） - 添加 include __DIR__ . '/../includes/footer.php'; 以显示ICP备案号

• 12.8 登录页面补充备案号悬挂 【目标对象】frontend/index.php 【修改目的】登录页面的页脚缺少ICP备案号 【修改方式】 - 在登录页 footer 的版权信息后，添加ICP备案号链接（使用 ICP_ENABLED 和 ICP_NUMBER 常量） - 链接指向 https://beian.miit.gov.cn/，target="_blank"

• 12.9 修复用户报告的4个运行时Bug 【目标对象】backend/schemas/admin.py、frontend/admin/conduct.php、frontend/admin/homework.php、frontend/admin/attendance.php 【修改目的】用户报告：1) 历史记录在加减分后无内容; 2) 管理员无法添加学生; 3) 加减分页面仅显示21人; 4) 管理端修改密码失败 【修改方式】 - 12.9a 历史记录问题：已在12.3中通过添加 StudentModel.update_total_points() 调用修复 - 12.9b 添加学生422错误：add_student 路由使用裸函数参数而非Pydantic body，FastAPI从query string读取导致422。创建 AddStudentRequest schema，路由改用Pydantic body - 12.9c 仅显示21人：loadStudents() 未传 page_size，后端默认20。前端3个文件添加 {page_size: 1000} - 12.9d 修改密码：已确认代码正确（sha1_md5_password + need_change_password=0）

• 12.10 修复登录及管理员日志未写入数据库 【目标对象】backend/models/log.py（新建）、backend/services/log_service.py（新建）、backend/services/auth_service.py、backend/routes/auth.py、backend/routes/admin.py 【修改目的】数据库中 login_logs 和 operation_logs 表已存在，但没有任何后端代码写入数据。README中规划了 models/operation_log.py 和 services/log_service.py，但文件不存在 【修改方式】 - 新建 backend/models/log.py：包含 LoginLogModel 和 OperationLogModel，分别向 login_logs 和 operation_logs 表写入记录 - 新建 backend/services/log_service.py：LogService 提供 write_login_log 和 write_operation_log 方法，用 try-except 包裹确保日志写入失败不影响主业务 - 修改 auth_service.py：login 方法增加 user_agent 参数，在5个退出点（失败次数过多、用户不存在、密码错误、账号禁用、登录成功）均写入 login_logs - 修改 auth.py：从 HTTP 请求头获取 user-agent 并传递给 AuthService.login() - 修改 admin.py：8个管理操作成功后写入 operation_logs（import_students、add_student、add_points、revoke_record、create_assignment、update_submission、add_attendance、add_admin）

• 12.11 修复CRITICAL: 登录返回数据缺少student_id导致学生端完全无法工作 【目标对象】backend/services/auth_service.py、backend/routes/auth.py 【修改目的】登录成功后返回给前端的数据中没有 student_id 字段，导致 index.php 无法传递 student_id 给 save_session.php，Session 中缺少 student_id，学生端所有页面 $student_id 为 null，所有 API 调用路径变成 /api/student/conduct/null 导致失败。这是学生端显示"假数据"的根本原因 【修改方式】 - auth_service.py: login 方法返回字典添加 "student_id": user["student_id"] - auth.py: 登录路由 success_response data 字典添加 "student_id": result.get("student_id")

• 12.12 批量修复6个管理端/学生端Bug 【目标对象】backend/models/user.py、backend/routes/admin.py、frontend/assets/js/admin.js、backend/services/conduct_service.py、backend/models/conduct.py、frontend/admin/history.php 【修改目的】用户报告6个运行时Bug：1) 修改密码失败；2) 管理端学生列表422；3) 添加管理员404；4) admin.js报错null；5) 历史记录500；6) history.php学生列表不完整 【修改方式】 - user.py: get_by_user_id SQL 添加 password_hash 字段（修改密码时验证旧密码需要此字段） - admin.py: page_size 上限 le=100→le=1000；路由 /admin/add→/add, /admin/list→/list（避免双重/api/admin前缀） - admin.js: showAddAdminModal 中 addAdminForm.reset() 改为 ?.reset() - conduct_service.py: get_history 方法开头添加空字符串→None转换 - conduct.py: get_all_records 方法开头添加空字符串→None转换 - history.php: loadStudentsForSelect 传 {page_size: 1000}

• 12.13 修复强制改密"原密码错误" + 科目管理/管理员管理500错误确认 【目标对象】backend/schemas/auth.py、backend/services/auth_service.py、backend/routes/auth.py、frontend/student/dashboard.php 【修改目的】用户报告3个Bug：1) 学生端首次登录强制改密时没有原密码输入框，但提交后报"原密码错误"；2) 科目管理页/api/subject/list返回500；3) 管理员管理页/api/admin/list返回500 【修改方式】 - schemas/auth.py: ChangePasswordRequest中old_password改为可选(default="")，新增force字段(bool, default=False) - auth_service.py: change_password方法新增force参数，当force=True时跳过旧密码验证 - auth.py: change_password路由从请求中读取force参数传递给服务层 - dashboard.php: 强制改密请求中添加force:true, old_password设为空字符串 - 科目管理500和管理员管理500: 经代码审查确认代码逻辑正确（SQL、路由、模型均无问题），500错误为后端服务未重启导致旧代码仍在运行

• 12.14 添加全局异常处理器 + 4个500路由添加try-except + 历史记录page_size上限修复 【目标对象】backend/main.py、backend/routes/subject.py、backend/routes/admin.py、backend/routes/student.py 【修改目的】用户确认后端已重启但仍报500，4个路由持续返回500 Internal Server Error（科目管理、管理员管理、历史记录、学生端操行分）。无法直接查看后端日志，需通过全局异常处理器和路由级try-except捕获具体错误原因 【修改方式】 - main.py: 添加全局异常处理器 global_exception_handler，捕获所有未处理异常，返回包含str(exc)的message和可选的traceback detail（仅DEBUG模式） - subject.py: get_subjects路由添加try-except，新增logger导入 - admin.py: get_admins和get_conduct_history路由添加try-except；get_conduct_history的page_size参数le=100→le=1000 - student.py: get_conduct_history路由添加try-except，新增logger导入