fix: 未绑定角色的菜单只有超级管理员可见

修改菜单权限检查逻辑:
- 菜单没有绑定任何角色/权限时，普通用户不可见
- 只有超级管理员可以查看所有菜单（包括未绑定的）

同时修改权限中间件:
- 菜单没有绑定角色时，普通用户不允许访问

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

Author: myxiaoao

src/Http/Middleware/Permission.php

@@ -85,9 +85,9 @@ protected function checkMenuPermission(Request $request, $user): bool
 
         $menuRoles = $menu->roles->pluck('slug')->toArray();
 
-        // 如果菜单没有绑定角色，允许访问
+        // 如果菜单没有绑定角色，普通用户不允许访问
         if (empty($menuRoles)) {
-            return true;
+            return false;
         }
 
         // 检查用户角色是否在菜单绑定的角色中

src/Layout/Menu.php

@@ -217,18 +217,9 @@ protected function checkPermission($item)
             return true;
         }
 
-        $permissionIds = $item['permission_id'] ?? null;
-        $roles = array_column(Helper::array($item['roles'] ?? []), 'slug');
-        $permissions = array_column(Helper::array($item['permissions'] ?? []), 'slug');
-
-        // 如果菜单没有绑定任何权限和角色，默认可见
-        if (! $permissionIds && ! $roles && ! $permissions) {
-            return true;
-        }
-
         $user = Admin::user();
 
-        // 未登录用户不能查看需要权限的菜单
+        // 未登录用户不能查看菜单
         if (! $user) {
             return false;
         }
@@ -238,6 +229,15 @@ protected function checkPermission($item)
             return true;
         }
 
+        $permissionIds = $item['permission_id'] ?? null;
+        $roles = array_column(Helper::array($item['roles'] ?? []), 'slug');
+        $permissions = array_column(Helper::array($item['permissions'] ?? []), 'slug');
+
+        // 如果菜单没有绑定任何权限和角色，普通用户不可见
+        if (! $permissionIds && ! $roles && ! $permissions) {
+            return false;
+        }
+
         // 检查用户角色是否匹配菜单绑定的角色
         if (! empty($roles) && $user->visible($roles)) {
             return true;