// src/middleware.ts
import { NextResponse } from "next/server";
import type { NextRequest } from "next/server";
// import { decodeToken, hasPermission, hasAnyPermission } from "@/lib/jwt";
import { decodeToken, hasPermission } from "@/lib/jwt";

// 인증이 필요없는 public 라우트 정의
const PUBLIC_ROUTES = ["/", "/login"];

export function middleware(request: NextRequest) {
  const token = request.cookies.get("token")?.value;
  const { pathname } = request.nextUrl;

  // Public routes 체크
  if (PUBLIC_ROUTES.includes(pathname)) {
    return NextResponse.next();
  }

  // 비인증 사용자는 홈 페이지로
  if (!token) {
    return NextResponse.redirect(new URL("/", request.url));
  }

  // 토큰 디코딩
  const tokenData = decodeToken(token);
  if (!tokenData) {
    return NextResponse.redirect(new URL("/", request.url));
  }

  // 권한 기반 라우팅 보호
  if (request.nextUrl.pathname.startsWith("/admin")) {
    // admin 페이지 접근을 위해서는 admin:access 권한이나 특정 role이 필요
    const hasAdminAccess =
      hasPermission(tokenData, "admin:access") ||
      ["super_admin", "company_admin"].includes(tokenData.role);

    if (!hasAdminAccess) {
      return NextResponse.redirect(new URL("/dashboard/overview", request.url));
    }
  }

  // 응답 헤더에 사용자 권한 정보 추가 (옵션)
  const response = NextResponse.next();
  response.headers.set(
    "X-User-Permissions",
    JSON.stringify(tokenData.permissions)
  );
  response.headers.set("X-User-Role", tokenData.role);

  return response;
}

export const config = {
  matcher: ["/((?!api|_next/static|_next/image|favicon.ico).*)"],
};