<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use LdapRecord\Models\ActiveDirectory\User as LdapUserInfo;
use App\Models\User;
use App\Facades\UserContext;
use App\Services\AuthorizationService;
use App\Services\ApiResponder;
use App\Dto\ApiResponseDto;

class LoginController extends Controller
{
  #Гаврилов
  //КОГДА ПЕРЕЙДЕМ НА ГРУППЫ, ПОМЕНЯТЬ НА АДМИНСКУЮ ГРУППУ? ИЛИ ОСТАВИТЬ РАССЫЛКУ?
  //ПЕРЕНЕСИ В .ENV И ВНИЗУ ПО КОДУ ГДЕ ОБРАЩАЕШЬСЯ К ЭТОМУ СВОЙСТВУ КЛАССА ПЕРЕПИШИ НА ПОЛУЧЕНИЕ СВОЙСТВА ИЗ ПЕРЕМЕННОЙ ОКРУЖЕНИЯ
  /**
   * @var string почтовая рассылка, куда входят админы
   */
  private $adminGroup = '# Magic_admins';
  /**
   * @var array массив групп, которые не должны участвовать в авторизации пользователя и поэтому могут не храниться
   */
  #Гаврилов
  //ИСПОЛЬЗУЙ МАССИВ НИЖЕ, ЧТОБЫ УДАЛЯТЬ ГРУППЫ И НЕ ХРАНИТЬ ИХ В ПРОФИЛЕ ПОЛЬЗОВАТЕЛЯ. ИЛИ ЗАБИТЬ ХЕР И ХРАНИТЬ ВСЕ? ТОГДА УДАЛИ МАССИВ НИЖЕ
  private $unnecessaryGroups = array(
    'MCO.',
    'ARSNOVA.',
    'CHATBOT.',
    'FOA_PROJECTS.',
    'MAXOPTRA.',
    'WEBSIGNER.',
    'ECM.',
    'BASIS.',
    'MCO_DOCUMENT.',
    'FACTOR.',
    'BIP.',
    'NKK.',
    'CHATS.',
    'IB_BSC.',
    'DASHAAI.',
    'VDI.',
    'CTX',
    'AP.AE.',
    'Way4',
    'sg.',
    'AD.TEDDY',
    'AP.APPV_',
    'AP.BI_',
    'AP.Citrix_',
    'AP.CSD_',
    'AP.EFK_',
    'AP.FlexiCapture_',
    'AP.HPSM.ACCESS.1',
    'AP.HPSM.ACCESS.3',
    'AP.HPSM.APPR_BR.Collection.',
    'AP.HPSM.APPR_BR.CS.',
    'AP.HPSM.ACCESS.CC',
    'AP.HPSM.ACCESS.123',
    'AP.HPSM.ACCESS.1.2',
    'AP.HPSM.APPR',
    'AP.OCP',
    'AP.IBS_',
    'AP.Intranet_',
    'AP.Intranet.',
    'AP.Jenkins_',
    'AP.Kibana.',
    'AP.LICA.',
    'AP.MailSteam.',
    'AP.MCO_',
    'AP.MDW.',
    'AP.POCHTA_',
    'AP.PREPROD',
    'AP.Prometheus',
    'AP.RDS_',
    'AP.SAS_',
    'AP.Seguranzza_',
    'AP.TEST.LICA.',
    'AP.Test.MCO_',
    'AP.TEST',
    'App_',
    'BTA_',
    'Calculations ',
    'Cards_',
    'CC.',
    'CCS_',
    'Citrix',
    'Collection_HR_',
    'Collection_All',
    'CS_',
    'CSD_',
    'DA_',
    'DB.',
    'DB_',
    'Deny_',
    'Diasoft ',
    'Digital ',
    'DOR_',
    'ECM_',
    'FS.',
    'FW.',
    'INFO_',
    'MDC.',
    'NRM_Collection',
    'PFA.',
    'RenTest_',
    'ReportingGroup ',
    'RS.',
    'SG.',
    'SP.',
    'SRV',
    'SRVFI09_',
    'SSO_',
    'test',
    'TR_',
    'WWW_',
    'MailStream',
    'SRVTST',
  );


  public function __construct(private AuthorizationService $authorizationService, private ApiResponder $apiResponder)
  {
  }

  #Гаврилов
  //ПЕРЕИМЕНУЙ КОНТРОЛЛЕР НА AUTHcoNTROLLER

  /**
   * Метод завершения пользовательской сессии
   *
   * @return void
   */
  public function logout()
  {
    //Удаляем все sanctum токены пользователя. Удаление всех токенов приведет к выходу пользователя со всех устройств, где он был залогирован в Magic
    User::where('login', UserContext::getUserLogin())->first()->tokens()->delete();
    session()->invalidate();
    #Гаврилов
    //ВЫЗОВ СКРИПТА НА СТАРОМ МЭДЖИКЕ ДЛЯ УДАЛЕНИЯ КУК АУТЕНТИФИКАЦИИ (ЛОГИН И ГРУППЫ)
    return redirect('/login');
  }


  #Гаврилов
  //РАЗНЕСИ ЛОГИКУ МЕЖДУ МЕТОДАМИ, А ТО ПОКА ВСЯ ЛОГИКА В ОДНОМ МЕТОД DLAPCHECK
  public function ldapCheckUser (Request $request)
  {
    if ($request->_auth_login) {
      if (Auth::attempt([
        'samaccountname' => $request->_auth_login,
        'password' => $request->_auth_password,
      ])) {
        
        $userGroups = $this->getUserGroups($request->_auth_login);
        session()->put('_auth_login', $request->_auth_login);
        session()->put('_auth_groups', $userGroups);
        //Если пользователь зашел впервые - записываем его логин в таблицу users. Она нужна для корректного взаимодействия с пакетом Sanctum
        $user = User::firstOrCreate(
          ['login' => $request->_auth_login],
        );
        //Удаляем все предыдущие sanctum токены пользователя
        User::where('login', $request->_auth_login)->first()->tokens()->delete();
        //Определяем на какую страницу нужно бросить пользователя после успешной аутентификации. По умолчанию кидаем в меню
        $redirectUrl = session()->has('_auth_prev_page') ? session()->get('_auth_prev_page') : ('/menu');
        $isAdminFlag = in_array($this->adminGroup, $userGroups);
        //Кладем в сессию информацию о том является ли пользователь админом
        session()->put('is_admin', $isAdminFlag);
        //Устанавливаем в пользовательский сервис параметры пользователя
        UserContext::setUserLogin($request->_auth_login);
        UserContext::setUserADGroups($userGroups);
        UserContext::setUserEmails($userGroups);
        UserContext::setIsAdminFlag($isAdminFlag);
        $userPermissions = $this->authorizationService->getUserAppPermissions();
        UserContext::setUserAppPermissions($userPermissions);
        //Генерим Sanctum токен, чтобы поместить его в куки при редиректе
        $token = $user->createToken('sanctum-token', [
          'permissions' => $userPermissions
        //Устанавливаем время жизни sanctum токена синхронно с временем жизни сессии из конфига
        ], now()->addHours(config('app.session_life_time') / 60))->plainTextToken;
        return redirect($redirectUrl)
          ->withCookie('sanctum_token', $token, 60 * 24, '/', null, true, true);
      } else {
        #Гаврилов
        //СООБЩЕНИЕ ОБ ОШИБКЕ ПРИ НЕУДАЧНОЙ АУТЕНТИФИКАЦИИ
        return redirect('/login');
      }
    }
  }


  /**
   * Метод фонового обновления санктум токена при получении 401 ошибки в ответе api ендпоинта
   *
   * @param Request $request
   * @return void
   */
  public function silentRefreshUserSanctumToken(Request $request)
  {
    //Если сессия истекла - возвращаем 401 ошибку и редирект на /login в axios
    if (!Auth::check()) {
      $this->apiResponder->setDto(new ApiResponseDto(null, ['token_refresh' => false]));
      return response()->json($this->apiResponder->error(), 401);
    }
    $token = $request->cookie('sanctum_token');
    $accessToken = \Laravel\Sanctum\PersonalAccessToken::findToken($token);
    //Если токен "протух" - продлеваем его на час
    if (now()->diffInMinutes($accessToken->expires_at, false) < 1) {
      $accessToken->update(
        [
          'expires_at' => now()->addHours(1)
        ]
      );
      $this->apiResponder->setDto(new ApiResponseDto(null, ['token_refresh' => true]));
      return response()->json($this->apiResponder->success());
    } else {
      //Если токен еще "свежий" - значит причина 401 ошибки в чем-то другом. Не обновляем токен, просто возвращаем 401 ошибку и редирект на /login в axios
      $this->apiResponder->setDto(new ApiResponseDto(null, ['token_refresh' => false]));
      return response()->json($this->apiResponder->error(), 401);
    }
  }

    /**
     * Метод получает группы пользователя из ldap
     *
     * @param string $userLogin логин пользователя, чьи группы получаем
     * @return array
     */
    public function getUserGroups($userLogin)
    {
      $userGroups = [];
      $ldapUser = LdapUserInfo::findBy('samaccountname', $userLogin);
      $ldapUser->memberOf;
      if (isset($ldapUser->memberOf)) {
        foreach ($ldapUser->memberOf as $ldapGroupInfo) {
          $CN_group = substr($ldapGroupInfo, 0, stripos($ldapGroupInfo, ","));
          $groupName = str_replace(array('CN=', '\\'), array('', ''), $CN_group);
          $clearGroupName = trim($groupName);
          if ($clearGroupName && $clearGroupName == str_replace($this->unnecessaryGroups, '', $clearGroupName)) {
            $userGroups[] = $clearGroupName;
          }
        }
      }
      return $userGroups;
    }
}