[FEAT] 重構機台日誌 UI 與增加多語系支援，並整合 IoT API 核心架構

- 機台日誌：對齊 Luxury UI 規範，實作整合式佈局與分頁組件。 - 多語系：完成機台日誌繁、英、日三語系翻譯與動態處理。 - UI 規範：更新 SKILL.md 定義「標準列表 Bible」。 - 後端：完善 TenantScoped 隔離邏輯，修復儀表板死循環與 User Model 缺失。 - IoT：擴展機台、會員 Model 並建立交易、商品、狀態等核心表結構。 - 基礎設施：設置台北時區與 Docker 環境變數同步。
2026-03-16 17:29:15 +08:00
parent 1851e91c86
commit 3ce88ed342
54 changed files with 2015 additions and 227 deletions
--- a/.agents/rules/rbac-rules.md
+++ b/.agents/rules/rbac-rules.md
@@ -0,0 +1,52 @@
+# 多租戶與權限架構實作規範 (RBAC Rules)
+
+本文件定義 Star Cloud 系統的多租戶與權限（RBAC）實作標準，開發者必須嚴格遵守以下準則，以確保資料隔離與安全性。
+
+---
+
+## 1. 資料隔離核心 (Data Isolation)
+
+### 1.1 租戶欄位 (`company_id`)
+任何屬於租戶資源的資料表（如 `users`, `machines`, `transactions` 等），**必須**包含 `company_id` 欄位。
+- `company_id = null`：系統管理員（SaaS 平台營運商）。
+- `company_id = {ID}`：特定租戶。
+
+### 1.2 自動過濾 (Global Scopes)
+- 資源 Model 必須套用 `TenantScoped` Trait。
+- 當非系統管理員登入時，所有 Eloquent 查詢必須自動加上 `where('company_id', auth()->user()->company_id)`。
+- **嚴禁**在 Controller 手動撰寫重複的過濾邏輯，除非是複雜的 Raw SQL。
+
+### 1.3 寫入安全
+- 建立新資源時，必須在背景強制綁定 `company_id`，禁止由前端傳參決定。
+- 範例：`$model->company_id = Auth::user()->company_id;`
+
+---
+
+## 2. 權限開發規範 (spatie/laravel-permission)
+
+### 2.1 租戶感知角色 (Tenant-Aware Roles)
+- `roles` 資料表已擴充 `company_id` 欄位。
+- 撈取角色清單供指派時，必須過濾 `company_id` 或為 null 的系統預設角色。
+
+### 2.2 權限命名
+- 權限名稱應遵循 `[module].[action]` 格式（例如 `machine.view`, `machine.edit`）。
+- 所有租戶共用相同的權限定義。
+
+---
+
+## 3. 介面安全 (UI/Blade)
+
+### 3.1 身份判定 Helper
+使用以下方法進行區分：
+- `$user->isSystemAdmin()`: 判斷是否為平台營運人員。
+- `$user->isTenant()`: 判斷是否為租戶帳號。
+
+### 3.2 Blade 指令
+- 涉及全站管理或跨租戶功能，必須使用 `@if(auth()->user()->isSystemAdmin())` 包裹。
+- 確保租戶登入時，不會在 Sidebar 或選單看到不屬於其權限範圍的項目。
+
+---
+
+## 4. API 安全
+- 所有的 API Route 應預設包含 `CheckTenantAccess` Middleware。
+- 嚴禁透過 URL 修改 ID 存取不屬於該租戶的資料，必須依賴 `company_id` 的 Scope 過濾。
--- a/.agents/rules/skill-trigger.md
+++ b/.agents/rules/skill-trigger.md
@@ -17,6 +17,7 @@ Skills 位於 `.agents/skills/`，採漸進式揭露以節省 Token。
 | 機台通訊, IoT, 日誌上報, Log Ingestion, 異步隊列, Queue, Heartbeat, 心跳發報 | **IoT 通訊與高併發處理規範** | `.agents/skills/iot-communication/SKILL.md` |
 | 介面, UI, 佈局, CSS, Tailwind, 奢華, 深色模式, Light Mode, Dark Mode, Blade, 樣式, 間距, 陰影, 動畫 | **極簡奢華風 UI 實作規範** | `.agents/skills/ui-minimal-luxury/SKILL.md` |
 | 查詢、撈資料、Query、Controller、下拉選單、Eloquent、N+1、`->get()`、select、交易、Transaction、Bulk、分頁、索引 | **資料庫與 ORM 最佳實踐規範** | `/home/mama/.gemini/antigravity/global_skills/database-best-practices/SKILL.md` |
+| RBAC, 權限, 角色, 租戶, Tenant, Company, Access Control, 多租戶, 權限控管 | **多租戶與權限架構實作規範** | `.agents/rules/rbac-rules.md` |

 ---

@@ -27,6 +28,7 @@ Skills 位於 `.agents/skills/`，採漸進式揭露以節省 Token。
 ### 🔴 新增或修改頁面 (Views/Blade) 時
 必須讀取：
 1. **ui-minimal-luxury** — 確保符合極簡奢華風視覺與互動規範
+2. **rbac-rules** — 確認 UI 區塊的權限顯示控制

 ### 🔴 新增機台通訊 API 端點時
 必須讀取：
@@ -39,3 +41,4 @@ Skills 位於 `.agents/skills/`，採漸進式揭露以節省 Token。
 ### 🔴 新增或修改 API 與 Controller 撈取資料庫邏輯時
 必須讀取：
 1. **database-best-practices** — 確認查詢優化、交易安全、批量寫入與索引規範
+2. **rbac-rules** — 確保 `company_id` 隔離邏輯正確套用