MACCMS v10会员试看功能权限配置失效

一、问题现象与初步排查

在MACCMS v10系统中，会员试看功能配置失效的典型表现为：尽管已在后台将指定用户组设置为“试看模式”，并设定试看时长为5分钟等固定值，但实际播放视频时，用户要么全程无法观看（受限），要么完全无需登录或付费即可播放（免限）。这表明系统的权限判断逻辑未正常触发。

• 检查是否已正确保存用户组权限配置。
• 确认目标视频资源所属分类未被全局权限覆盖。
• 验证当前登录用户的用户组归属是否准确。
• 查看播放页面URL是否经过重写或跳转导致参数丢失。

二、权限继承与冲突分析

MACCMS v10采用多层级权限继承机制，当多个用户组或角色同时作用于同一用户时，可能出现权限叠加或覆盖问题。例如，若用户既属于“游客组”又误分配至“VIP组”，系统可能优先执行VIP免限策略，从而跳过试看逻辑。

用户组类型	权限优先级	是否启用试看	常见冲突源
游客组	低	是	未登录状态误判
普通会员	中	否	继承自上级组
VIP会员	高	否	覆盖试看设置

三、缓存机制对权限生效的影响

MACCMS广泛使用缓存提升性能，但这也可能导致权限变更后未能即时反映。尤其是使用Redis或Memcached作为缓存后端时，用户会话和权限数据可能仍保留旧版本。

1. 清除系统缓存（admin → 工具 → 清除缓存）。
2. 重启PHP-FPM或Apache服务以释放内存中的会话数据。
3. 检查application/data/cache/目录下的权限相关缓存文件是否存在过期条目。
4. 在开发环境中临时关闭缓存进行测试。

// 示例：手动清除MACCMS用户权限缓存
$cacheKey = 'user_group_' . $userId;
\think\Cache::rm($cacheKey);
\think\Cache::rm('config_auth');

四、播放器嵌套调用与身份传递问题

当使用iframe或AJAX方式加载播放器时，若未显式传递用户身份信息（如uid、token），播放页可能以匿名身份运行，导致鉴权失败。特别是在CDN加速或跨域部署场景下更为明显。

graph TD A[主站页面] --> B{是否登录} B -->|是| C[生成含UID的播放Token] B -->|否| D[标记为游客] C --> E[嵌入播放器URL带Token] D --> F[请求播放页] E --> G[播放控制器校验Token] F --> G G --> H{是否允许试看?} H -->|是| I[启动5分钟计时器] H -->|否| J[拦截播放]

五、模板自定义播放页绕过鉴权接口

部分开发者为美化界面或集成第三方播放器，在自定义播放模板中直接调用player.js而忽略调用{$maccms.site_url}/index.php/api/auth等鉴权接口，造成权限判断缺失。

正确做法应在播放前插入如下逻辑：

<script>
$.get('/index.php/api/auth', { video_id: '{$obj.vod_id}' }, function(res) {
    if (res.code === 0) {
        startPlayer(); // 允许播放
    } else {
        alert(res.msg); // 提示登录或购买
    }
});
</script>

六、完整解决方案清单

为系统性解决试看功能失效问题，建议按以下流程逐一排查：

步骤	操作内容	验证方法
1	检查用户组权限设置	后台→用户组→试看模式开关
2	清除所有级别缓存	命令行执行php think cache:clear
3	审查播放页模板代码	确认调用/api/auth接口
4	调试用户身份传递链路	抓包分析Cookie与Session一致性
5	启用系统日志记录	查看runtime/log/中的权限拒绝记录
6	模拟不同用户组测试	使用Postman发送带身份的请求