docs: 更新Phase4/Phase2计划状态 + 同步Issue #22进度追踪

- PHASE_4_PLAN.md: 更新状态头部（4.1/4.2/4.3 ✅，B端未开始，安全问题M-04/M-06优先） - PHASE_2_PLAN.md: B端核销状态从'开发中'→'未开始'（Issue #21文件核查），新增Issue #22引用 - Issue #21（截至2026-04-23）已关闭，作为历史存档 - Issue #22新建：Phase 4进度追踪（截至2026-04-25） - Issue #17追加评论：当前状态 + Issue #7安全问题清单 - Issue #7安全问题（M-04超卖/M-06权限）列为B端开发前置条件
2026-04-25 09:03:52 +08:00 · 2026-04-25 09:03:52 +08:00 · dcf7354473
parent 5c433ea20e
commit dcf7354473
2 changed files with 29 additions and 20 deletions
--- a/docs/PHASE2_PLAN.md
+++ b/docs/PHASE2_PLAN.md
@ -73,7 +73,8 @@ var specBaseId = self.specBaseIdMap[seatKey] || 0;
 |------|------|
 | 模板渲染 | ✅ 正常 |
 | 票务 footer | ✅ 已精简 |
-| Task 1: C端票夹 | ✅ 完成（2026-04-24，票夹页面 + API + 返回按钮，详见 Issue #21） |
+| Task 1: C端票夹 | ✅ 完成（2026-04-24，票夹页面 + API + JsBarcode本地化，详见 [Issue #22](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/22)） |
 | Issue #13 实现（v3.0 落地） | ⚠️ 待动手 |
-| B端核销 API + 页面 | ⏳ 开发中 |
+| B端核销 API + 页面 | ❌ 未开始（Issue #21 状态有误，已关闭，正确状态见 Issue #22） |
 | 后台 4 控制器联调 | ❌ 未开始 |
+| Issue #7 安全问题（M-04/M-06优先） | ⚠️ B端开发前必须处理 |
--- a/docs/PHASE_4_PLAN.md
+++ b/docs/PHASE_4_PLAN.md
@ -1,8 +1,9 @@
 # Phase 4 规划：发票 · 核销 · 票夹

 > 规划日期：2026-04-22
-> 最后更新：2026-04-23（算法变更：Feistel-8 → HMAC-XOR，BUG修复）
-> 状态：**Phase 4.1/4.2 已完成，B端核销进行中**
+> 最后更新：2026-04-25（JsBarcode本地化修复 + 状态追踪重置）
+> 状态：**Phase 4.1/4.2/4.3 完成，B端核销待开发，安全问题M-04/M-06优先**
+> 进度追踪：[Issue #22](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/22) | 安全问题：[Issue #7](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/7)（全未修复）

 ---

@ -486,29 +487,36 @@ shopxo/app/plugins/vr_ticket/

 ```
 Phase 4.1 — 基础设施
-  ├─ BaseService: Feistel8 encode/decode
-  ├─ BaseService: signQrPayload / verifyQrPayload
-  ├─ BaseService: shortCodeEncode / shortCodeDecode
-  └─ DB Migration: 002_ticket_wallet.sql
+  ├─ BaseService: Feistel8 encode/decode ✅
+  ├─ BaseService: signQrPayload / verifyQrPayload ✅
+  ├─ BaseService: shortCodeEncode / shortCodeDecode ✅
+  └─ DB Migration: 002_ticket_wallet.sql ✅

-Phase 4.2 — 出票链路（最关键）
-  ├─ TicketService::onOrderPaid: 适配5维spec解析
-  ├─ TicketService::issueTicket: JWT签名QR + 写入
-  └─ 联调：支付成功 → 查 vr_tickets 有记录
+Phase 4.2 — 出票链路（最关键）✅
+  ├─ TicketService::onOrderPaid: 适配5维spec解析 ✅
+  ├─ TicketService::issueTicket: JWT签名QR + 写入 ✅
+  └─ 联调：支付成功 → 查 vr_tickets 有记录 ✅

-Phase 4.3 — C端票夹
-  ├─ api/controller/Ticket.php
-  ├─ WalletService.php
-  ├─ ticket_wallet.html
-  ├─ ticket_card.html
-  └─ QR本地缓存逻辑
+Phase 4.3 — C端票夹 ✅（2026-04-24）
+  ├─ api/controller/Ticket.php ✅
+  ├─ WalletService.php ✅
+  ├─ ticket_wallet.html ✅
+  ├─ ticket_card.html ✅
+  ├─ QR本地缓存逻辑 ✅
+  └─ JsBarcode本地化 ✅（2026-04-25，cdn.jsdelivr → ShopXO自带）

-Phase 4.4 — B端核销
+**⚠️ 安全问题先修（Issue #7，全未修复）**：
+  ├─ M-04: loadSoldSeats()未实现 → 超卖风险 ✅
+  └─ M-06: Admin控制器无权限校验 → B端安全基线
+
+Phase 4.4 — B端核销 ❌ 未开始
  ├─ admin/controller/Ticket.php: verifySubmit
  ├─ admin/view/ticket/verify.html
+  ├─ M-01 TOCTOU原子更新
+  ├─ M-02/M-05 verifier_id鉴权
  └─ 联调：扫码 → 核销成功 → vr_verifications有记录

-Phase 4.5 — 全链路验证
+Phase 4.5 — 全链路验证 ❌ 未开始
  └─ 完整流程: 选座→下单→支付→出票→票夹展示→核销
 ```