feat:實作 Admin Panel — 平台管理後台

後端： - AdminStatsController：總會員/教練/課程數統計 API - AdminUserController：會員與教練列表、詳情、啟用/停用、教練驗證（toggle 反轉語意） - AdminOfferController：全平台課程列表與刪除 - routes/api.php：新增 /api/admin/stats、members、providers、offers 等路由前端（frontend/）： - adminAuth store、adminAxios（第三套獨立認證） - /admin/* 路由群組 + requiresAdmin guard - AdminNavBar、AdminLayout - App.vue：isCoachPage → isBackofficePage（/coach/* 和 /admin/* 皆隱藏會員 NavBar） - LoginView、DashboardView（統計卡片） - MembersView、ProvidersView（含驗證操作）、OffersView（含刪除確認） OpenSpec： - 新增 specs：admin-auth / admin-user-management / admin-offer-management / admin-stats / admin-panel-ui - 歸檔：openspec/changes/archive/2026-05-10-admin-panel Co-Authored-By: Claude Sonnet 4.6 (1M context) <noreply@anthropic.com>
2026-05-10 04:07:13 +08:00
parent da48a3652d
commit ad2c05779d
29 changed files with 1439 additions and 10 deletions
@@ -0,0 +1,30 @@
+## ADDED Requirements
+
+### Requirement: 管理員登入
+後端 SHALL 提供 `POST /api/admin/login`（現有 AuthController 方法），驗證 email/password 並確認 role=admin，回傳 Bearer token。
+
+#### Scenario: 正確帳密登入
+- **WHEN** 管理員送出正確 email 與 password
+- **THEN** 回傳 HTTP 200，`{ status: true, data: { user, token, token_type: "Bearer" } }`
+
+#### Scenario: 非 admin 角色帳號嘗試登入
+- **WHEN** role 非 admin 的帳號嘗試呼叫此端點
+- **THEN** 回傳 HTTP 401，`{ status: false, message: "電子郵件或密碼錯誤" }`
+
+---
+
+### Requirement: 管理員登出
+後端 SHALL 提供 `POST /api/admin/logout`（需 Bearer token），撤銷當前 token。
+
+#### Scenario: 登出成功
+- **WHEN** 已登入管理員送出登出請求
+- **THEN** 回傳 HTTP 200，`{ status: true, message: "..." }`，token 失效
+
+---
+
+### Requirement: 管理員個人資料
+後端 SHALL 提供 `GET /api/admin/profile`（需 Bearer token），回傳管理員基本資訊與 AdminProfile。
+
+#### Scenario: 取得個人資料
+- **WHEN** 已登入管理員送出 GET 請求
+- **THEN** 回傳 HTTP 200，包含 name / email / role / adminProfile（position / department）
@@ -0,0 +1,25 @@
+## ADDED Requirements
+
+### Requirement: 管理員查看全平台課程列表
+後端 SHALL 提供 `GET /api/admin/offers`（需 Bearer token，role=admin），回傳所有課程，支援關鍵字搜尋與分頁。
+
+#### Scenario: 取得全部課程列表
+- **WHEN** 管理員送出 GET 請求不帶參數
+- **THEN** 回傳 HTTP 200，`{ status: true, data: [...offers], meta: { total, per_page, current_page, last_page } }`，預設每頁 15 筆，含 provider_id
+
+#### Scenario: 搜尋課程
+- **WHEN** 管理員送出 `?q=墾丁`
+- **THEN** 只回傳 title 或 location 包含「墾丁」的課程
+
+---
+
+### Requirement: 管理員刪除課程
+後端 SHALL 提供 `DELETE /api/admin/offers/{id}`（需 Bearer token，role=admin），可刪除任意課程，不受 provider_id 限制。
+
+#### Scenario: 刪除存在的課程
+- **WHEN** 管理員送出有效 id 的 DELETE 請求
+- **THEN** 回傳 HTTP 200，`{ status: true, message: "課程已刪除" }`，資料庫記錄移除
+
+#### Scenario: 課程不存在
+- **WHEN** 指定 id 的課程不存在
+- **THEN** 回傳 HTTP 404，`{ status: false, message: "課程不存在" }`
@@ -0,0 +1,82 @@
+## ADDED Requirements
+
+### Requirement: 管理員登入頁
+前端 SHALL 提供 `/admin/login` 頁面，供管理員以 email/password 登入，成功後導向 `/admin/dashboard`。
+
+#### Scenario: 登入成功
+- **WHEN** 管理員填入正確帳密並送出
+- **THEN** 呼叫 `POST /api/admin/login`，token 存入 adminAuth store（localStorage key: admin_token），導向 `/admin/dashboard`
+
+#### Scenario: 登入失敗
+- **WHEN** 帳密錯誤
+- **THEN** 頁面顯示錯誤訊息，不跳轉
+
+---
+
+### Requirement: 儀表板（統計數據）
+前端 SHALL 提供 `/admin/dashboard` 頁面（需 admin 登入），顯示平台核心統計數據。
+
+#### Scenario: 載入統計數據
+- **WHEN** 管理員訪問 Dashboard
+- **THEN** 呼叫 `GET /api/admin/stats`，顯示總會員數、總教練數、總課程數三個數字卡片
+
+---
+
+### Requirement: 會員管理頁
+前端 SHALL 提供 `/admin/members` 頁面，列出所有會員，支援搜尋與啟用/停用操作。
+
+#### Scenario: 載入會員列表
+- **WHEN** 管理員訪問此頁面
+- **THEN** 呼叫 `GET /api/admin/members`，以表格顯示姓名、email、註冊時間、帳號狀態
+
+#### Scenario: 搜尋會員
+- **WHEN** 管理員在搜尋框輸入關鍵字
+- **THEN** 以 `?q=` 重新呼叫 API，列表更新
+
+#### Scenario: 切換帳號狀態
+- **WHEN** 管理員點擊啟用/停用按鈕
+- **THEN** 呼叫 `PUT /api/admin/members/{id}/toggle-active`，成功後按鈕狀態更新
+
+---
+
+### Requirement: 教練管理頁
+前端 SHALL 提供 `/admin/providers` 頁面，列出所有教練，支援搜尋、啟用/停用、驗證操作。
+
+#### Scenario: 載入教練列表
+- **WHEN** 管理員訪問此頁面
+- **THEN** 呼叫 `GET /api/admin/providers`，顯示姓名、email、工作室名稱、驗證狀態、帳號狀態
+
+#### Scenario: 切換驗證狀態
+- **WHEN** 管理員點擊驗證/取消驗證按鈕
+- **THEN** 呼叫 `PUT /api/admin/providers/{id}/toggle-verified`，成功後驗證狀態更新
+
+---
+
+### Requirement: 課程管理頁
+前端 SHALL 提供 `/admin/offers` 頁面，列出全平台課程，支援搜尋與刪除。
+
+#### Scenario: 載入課程列表
+- **WHEN** 管理員訪問此頁面
+- **THEN** 呼叫 `GET /api/admin/offers`，顯示課程標題、地點、教練 ID、價格
+
+#### Scenario: 刪除課程（含確認）
+- **WHEN** 管理員點擊刪除按鈕後確認
+- **THEN** 呼叫 `DELETE /api/admin/offers/{id}`，成功後從列表移除
+
+---
+
+### Requirement: Admin 路由守衛
+前端 SHALL 對所有 `/admin/*` 路由（login 除外）加上 navigation guard，未登入時導向 `/admin/login`。
+
+#### Scenario: 未登入訪問後台頁面
+- **WHEN** 未登入使用者直接訪問 `/admin/dashboard`
+- **THEN** 自動導向 `/admin/login`
+
+---
+
+### Requirement: Admin Layout 與導覽
+前端 SHALL 提供 `AdminLayout`，包含 `AdminNavBar`（顯示管理員姓名、各功能連結、登出），所有 `/admin/*` protected 頁面套用此 Layout。`/admin/*` 路由不顯示會員 NavBar。
+
+#### Scenario: 會員 NavBar 隱藏
+- **WHEN** 使用者訪問任何 `/admin/*` 路徑
+- **THEN** App.vue 不渲染會員 NavBar
@@ -0,0 +1,12 @@
+## ADDED Requirements
+
+### Requirement: 平台統計數據 API
+後端 SHALL 提供 `GET /api/admin/stats`（需 Bearer token，role=admin），回傳平台核心數據。
+
+#### Scenario: 取得統計數據
+- **WHEN** 管理員送出 GET /api/admin/stats
+- **THEN** 回傳 HTTP 200，`{ status: true, data: { total_members: N, total_providers: N, total_offers: N } }`
+
+#### Scenario: 非管理員存取
+- **WHEN** 非 admin role 的 token 送出請求
+- **THEN** 回傳 HTTP 403，`{ status: false, message: "無權限存取" }`
@@ -0,0 +1,69 @@
+## ADDED Requirements
+
+### Requirement: 管理員查看會員列表
+後端 SHALL 提供 `GET /api/admin/members`（需 Bearer token，role=admin），回傳所有 role=member 的用戶，支援關鍵字搜尋與分頁。
+
+#### Scenario: 取得全部會員列表
+- **WHEN** 管理員送出 GET 請求不帶參數
+- **THEN** 回傳 HTTP 200，`{ status: true, data: [...members with memberProfile], meta: { total, per_page, current_page, last_page } }`，預設每頁 15 筆
+
+#### Scenario: 搜尋會員
+- **WHEN** 管理員送出 `?q=王小明`
+- **THEN** 只回傳 name 或 email 包含「王小明」的會員
+
+---
+
+### Requirement: 管理員查看會員詳情
+後端 SHALL 提供 `GET /api/admin/members/{id}`，回傳指定會員的完整資料。
+
+#### Scenario: 取得存在的會員詳情
+- **WHEN** 管理員送出有效 id 的 GET 請求
+- **THEN** 回傳 HTTP 200，包含 user 資料與 memberProfile
+
+#### Scenario: 會員不存在
+- **WHEN** 指定 id 的用戶不存在或 role 非 member
+- **THEN** 回傳 HTTP 404，`{ status: false, message: "用戶不存在" }`
+
+---
+
+### Requirement: 管理員啟用/停用會員帳號
+後端 SHALL 提供 `PUT /api/admin/members/{id}/toggle-active`，反轉指定會員的 `is_active` 狀態。
+
+#### Scenario: 停用啟用中的帳號
+- **WHEN** 管理員對 is_active=true 的會員發送請求
+- **THEN** 將 is_active 設為 false，回傳 HTTP 200，`{ status: true, message: "帳號已停用", data: { is_active: false } }`
+
+#### Scenario: 啟用停用中的帳號
+- **WHEN** 管理員對 is_active=false 的會員發送請求
+- **THEN** 將 is_active 設為 true，回傳 HTTP 200，`{ status: true, message: "帳號已啟用", data: { is_active: true } }`
+
+---
+
+### Requirement: 管理員查看教練列表
+後端 SHALL 提供 `GET /api/admin/providers`（需 Bearer token，role=admin），回傳所有 role=provider 的用戶，支援搜尋與分頁，含 providerProfile。
+
+#### Scenario: 取得全部教練列表
+- **WHEN** 管理員送出 GET 請求
+- **THEN** 回傳 HTTP 200，含 providerProfile（包括 is_verified、business_name 等）與分頁 meta
+
+---
+
+### Requirement: 管理員啟用/停用教練帳號
+後端 SHALL 提供 `PUT /api/admin/providers/{id}/toggle-active`，行為同會員版本。
+
+#### Scenario: 停用/啟用教練帳號
+- **WHEN** 管理員對教練帳號發送 toggle-active 請求
+- **THEN** 反轉 is_active，回傳對應訊息
+
+---
+
+### Requirement: 管理員驗證教練
+後端 SHALL 提供 `PUT /api/admin/providers/{id}/toggle-verified`，反轉 ProviderProfile.is_verified 狀態。
+
+#### Scenario: 驗證教練
+- **WHEN** 管理員對 is_verified=false 的教練發送請求
+- **THEN** 將 is_verified 設為 true，回傳 HTTP 200，`{ status: true, message: "教練已驗證", data: { is_verified: true } }`
+
+#### Scenario: 取消驗證教練
+- **WHEN** 管理員對 is_verified=true 的教練發送請求
+- **THEN** 將 is_verified 設為 false，回傳 HTTP 200，`{ status: true, message: "已取消驗證", data: { is_verified: false } }`