HoruxDespachosNuevo/apps/web/lib/api/client.ts

import axios from 'axios';

export const apiClient = axios.create({
  baseURL: process.env.NEXT_PUBLIC_API_URL || 'http://localhost:4000/api',
  headers: {
    'Content-Type': 'application/json',
  },
});

// Lock para refrescos: solo un /auth/refresh puede estar en vuelo a la vez.
// Cualquier otra peticion 401 espera el resultado del refresh en curso.
let refreshPromise: Promise<{ accessToken: string; refreshToken: string }> | null = null;

// Controllers de peticiones activas, para poder cancelarlas en operaciones
// que invalidan el refresh token (ej. cambio de tenant real).
const activeControllers = new Set<AbortController>();

apiClient.interceptors.request.use((config) => {
  if (typeof window !== 'undefined') {
    const token = localStorage.getItem('accessToken');
    if (token) {
      config.headers.Authorization = `Bearer ${token}`;
    }

    // Add viewing tenant header for admin users
    const tenantViewStore = localStorage.getItem('horux-tenant-view');
    if (tenantViewStore) {
      try {
        const { state } = JSON.parse(tenantViewStore);
        if (state?.viewingTenantId) {
          config.headers['X-View-Tenant'] = state.viewingTenantId;
        }
      } catch {
        // Ignore parse errors
      }
    }

    // Rastrear controller para cancelacion masiva
    const controller = new AbortController();
    config.signal = controller.signal;
    (config as any)._horuxController = controller;
    activeControllers.add(controller);
  }
  return config;
});

function releaseController(config: any) {
  const controller = config?._horuxController as AbortController | undefined;
  if (controller) {
    activeControllers.delete(controller);
  }
}

apiClient.interceptors.response.use(
  (response) => {
    releaseController(response.config);
    return response;
  },
  async (error) => {
    releaseController(error.config);
    const originalRequest = error.config;

    // Rate limit hit. El backend envía { message } — lo preservamos para que los
    // try/catch existentes (que leen err.response.data.message) muestren la razón
    // correcta. Además mostramos un alert visible como fallback si nadie maneja.
    if (error.response?.status === 429) {
      const msg =
        error.response?.data?.message ||
        'Demasiadas solicitudes. Espera unos minutos e intenta de nuevo.';
      if (typeof window !== 'undefined' && !originalRequest?._rateLimitHandled) {
        originalRequest._rateLimitHandled = true;
        console.warn('[rate-limit]', msg);
      }
      return Promise.reject(error);
    }

    // Suscripción inactiva — el backend devuelve { code: 'SUBSCRIPTION_INACTIVE',
    // redirectTo: '/configuracion/suscripcion' }. Redirigimos al user a renovar
    // (skip si ya está en la página de suscripción para no entrar en loop).
    if (
      error.response?.status === 403 &&
      error.response?.data?.code === 'SUBSCRIPTION_INACTIVE' &&
      typeof window !== 'undefined'
    ) {
      const redirectTo = error.response.data.redirectTo || '/configuracion/suscripcion';
      if (window.location.pathname !== redirectTo) {
        window.location.href = redirectTo;
      }
      return Promise.reject(error);
    }

    if (error.response?.status === 401 && !originalRequest._retry) {
      originalRequest._retry = true;

      if (!refreshPromise) {
        refreshPromise = (async () => {
          const refreshToken = localStorage.getItem('refreshToken');
          if (!refreshToken) throw new Error('No refresh token');

          const response = await axios.post(
            `${process.env.NEXT_PUBLIC_API_URL || 'http://localhost:4000/api'}/auth/refresh`,
            { refreshToken }
          );

          const { accessToken, refreshToken: newRefreshToken } = response.data;
          localStorage.setItem('accessToken', accessToken);
          localStorage.setItem('refreshToken', newRefreshToken);
          return { accessToken, refreshToken: newRefreshToken };
        })().finally(() => {
          refreshPromise = null;
        });
      }

      try {
        const { accessToken } = await refreshPromise;
        originalRequest.headers.Authorization = `Bearer ${accessToken}`;
        return apiClient(originalRequest);
      } catch {
        localStorage.removeItem('accessToken');
        localStorage.removeItem('refreshToken');
        localStorage.removeItem('horux-tenant-view');
        window.location.href = '/login';
        return Promise.reject(error);
      }
    }

    return Promise.reject(error);
  }
);

/**
 * Cancela todas las peticiones activas del apiClient.
 * Util antes de operaciones que invalidan el refresh token (ej. switch-tenant)
 * para evitar race conditions entre requests viejas y el nuevo par de tokens.
 */
export function cancelAllApiRequests() {
  activeControllers.forEach((controller) => controller.abort());
  activeControllers.clear();
}