/**
 * 인증 미들웨어
 * JWT 검증 + admin 체크
 */

const jwt = require('jsonwebtoken');

const JWT_SECRET = process.env.SSO_JWT_SECRET;

/**
 * Bearer 토큰 또는 쿠키에서 토큰 추출
 */
function extractToken(req) {
  const authHeader = req.headers['authorization'];
  if (authHeader && authHeader.startsWith('Bearer ')) {
    return authHeader.split(' ')[1];
  }
  return null;
}

/**
 * 인증 필수 미들웨어
 */
function requireAuth(req, res, next) {
  const token = extractToken(req);
  if (!token) {
    return res.status(401).json({ success: false, error: '인증이 필요합니다' });
  }
  try {
    const decoded = jwt.verify(token, JWT_SECRET);
    req.user = decoded;
    next();
  } catch {
    return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
  }
}

/**
 * 관리자 권한 미들웨어
 */
function requireAdmin(req, res, next) {
  const token = extractToken(req);
  if (!token) {
    return res.status(401).json({ success: false, error: '인증이 필요합니다' });
  }
  try {
    const decoded = jwt.verify(token, JWT_SECRET);
    if (!['admin', 'system'].includes((decoded.role || '').toLowerCase())) {
      return res.status(403).json({ success: false, error: '관리자 권한이 필요합니다' });
    }
    req.user = decoded;
    next();
  } catch {
    return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
  }
}

/**
 * 관리자 또는 특정 페이지 권한 보유자 미들웨어 팩토리
 */
function requireAdminOrPermission(pageName) {
  return async (req, res, next) => {
    const token = extractToken(req);
    if (!token) return res.status(401).json({ success: false, error: '인증이 필요합니다' });
    try {
      const decoded = jwt.verify(token, JWT_SECRET);
      req.user = decoded;
      if (['admin', 'system'].includes((decoded.role || '').toLowerCase())) return next();
      const { checkAccess } = require('../models/permissionModel');
      const result = await checkAccess(decoded.user_id || decoded.id, pageName);
      if (result.can_access) return next();
      return res.status(403).json({ success: false, error: '권한이 없습니다' });
    } catch {
      return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
    }
  };
}

/**
 * 최소 권한 레벨 체크 미들웨어
 * worker(1) < group_leader(2) < support_team(3) < admin(4) < system(5)
 */
const ACCESS_LEVELS = { worker: 1, group_leader: 2, support_team: 3, admin: 4, system: 5 };

function requireMinLevel(minLevel) {
  return (req, res, next) => {
    const token = extractToken(req);
    if (!token) {
      return res.status(401).json({ success: false, error: '인증이 필요합니다' });
    }
    try {
      const decoded = jwt.verify(token, JWT_SECRET);
      req.user = decoded;
      const userLevel = ACCESS_LEVELS[decoded.access_level] || ACCESS_LEVELS[decoded.role] || 0;
      const requiredLevel = ACCESS_LEVELS[minLevel] || 999;
      if (userLevel < requiredLevel) {
        return res.status(403).json({ success: false, error: `${minLevel} 이상의 권한이 필요합니다` });
      }
      next();
    } catch {
      return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
    }
  };
}

module.exports = { extractToken, requireAuth, requireAdmin, requireAdminOrPermission, requireMinLevel };