修复跨域问题

.cospec/plan/changes/fix-admin-multi-issues/task.md

@@ -144,6 +144,17 @@
         - header.php 注入到 JS 全局变量
         - homework.php 快捷按钮使用配置值 + 自定义输入 + ±HOMEWORK_MAX_POINTS 限制
         - attendance.php 状态按钮使用配置值
+
+### 阶段 6：CORS 跨域拦截修复
+
+- [x] 6.1 注册 AuthMiddleware 为全局中间件并修复 CORS 执行顺序
+     【目标对象】`backend/main.py`、`backend/middleware/auth_middleware.py`
+     【修改目的】修复 CORS 跨域拦截问题：AuthMiddleware 未注册导致 request.state 属性缺失，路由层 500 错误被浏览器误报为 CORS 错误
+     【修改方式】
+        - auth_middleware.py: dispatch 方法顶部添加 OPTIONS 请求跳过逻辑
+        - main.py: 注册 AuthMiddleware 为全局中间件（先注册后执行），CORS 在 Auth 之后注册（后注册先执行）
+        - main.py: 添加 CORS 配置启动日志和空值警告
+     【中间件执行顺序】CORS → Auth → access_log → 路由
      【目标对象】`frontend/admin/students.php`
      【修改目的】除班主任角色外，隐藏家长手机号列的显示内容，保护隐私
      【修改方式】在表头 HTML 和 JS 渲染处添加 `$role` 判断