forked from git.gladyson/openmonetis
2eafceb6d3
- Atualizar imports em todos os arquivos que usavam os nomes antigos - Corrigir referências para preferenciasUsuario, insightsSalvos, tokensApi, preLancamentos, antecipacoesParcelas, compartilhamentosPagador
137 lines
3.3 KiB
TypeScript
137 lines
3.3 KiB
TypeScript
|
|
|
|
import { and, eq, isNull } from "drizzle-orm";
|
|
import { NextResponse } from "next/server";
|
|
import { z } from "zod";
|
|
import { tokensApi, preLancamentos } from "@/db/schema";
|
|
import { extractBearerToken, hashToken } from "@/lib/auth/api-token";
|
|
import { db } from "@/lib/db";
|
|
import { inboxItemSchema } from "@/lib/schemas/inbox";
|
|
|
|
// Rate limiting simples em memória (em produção, use Redis)
|
|
const rateLimitMap = new Map<string, { count: number; resetAt: number }>();
|
|
const RATE_LIMIT = 100; // 100 requests
|
|
const RATE_WINDOW = 60 * 1000; // por minuto
|
|
|
|
function checkRateLimit(userId: string): boolean {
|
|
const now = Date.now();
|
|
const userLimit = rateLimitMap.get(userId);
|
|
|
|
if (!userLimit || userLimit.resetAt < now) {
|
|
rateLimitMap.set(userId, { count: 1, resetAt: now + RATE_WINDOW });
|
|
return true;
|
|
}
|
|
|
|
if (userLimit.count >= RATE_LIMIT) {
|
|
return false;
|
|
}
|
|
|
|
userLimit.count++;
|
|
return true;
|
|
}
|
|
|
|
export async function POST(request: Request) {
|
|
try {
|
|
// Extrair token do header
|
|
const authHeader = request.headers.get("Authorization");
|
|
const token = extractBearerToken(authHeader);
|
|
|
|
if (!token) {
|
|
return NextResponse.json(
|
|
{ error: "Token não fornecido" },
|
|
{ status: 401 },
|
|
);
|
|
}
|
|
|
|
// Validar token os_xxx via hash
|
|
if (!token.startsWith("os_")) {
|
|
return NextResponse.json(
|
|
{ error: "Formato de token inválido" },
|
|
{ status: 401 },
|
|
);
|
|
}
|
|
|
|
const tokenHash = hashToken(token);
|
|
|
|
// Buscar token no banco
|
|
const tokenRecord = await db.query.tokensApi.findFirst({
|
|
where: and(
|
|
eq(tokensApi.tokenHash, tokenHash),
|
|
isNull(tokensApi.revokedAt),
|
|
),
|
|
});
|
|
|
|
if (!tokenRecord) {
|
|
return NextResponse.json(
|
|
{ error: "Token inválido ou revogado" },
|
|
{ status: 401 },
|
|
);
|
|
}
|
|
|
|
// Rate limiting
|
|
if (!checkRateLimit(tokenRecord.userId)) {
|
|
return NextResponse.json(
|
|
{ error: "Limite de requisições excedido", retryAfter: 60 },
|
|
{ status: 429 },
|
|
);
|
|
}
|
|
|
|
// Validar body
|
|
const body = await request.json();
|
|
const data = inboxItemSchema.parse(body);
|
|
|
|
// Inserir item na inbox
|
|
const [inserted] = await db
|
|
.insert(preLancamentos)
|
|
.values({
|
|
userId: tokenRecord.userId,
|
|
sourceApp: data.sourceApp,
|
|
sourceAppName: data.sourceAppName,
|
|
originalTitle: data.originalTitle,
|
|
originalText: data.originalText,
|
|
notificationTimestamp: data.notificationTimestamp,
|
|
parsedName: data.parsedName,
|
|
parsedAmount: data.parsedAmount?.toString(),
|
|
parsedTransactionType: data.parsedTransactionType,
|
|
status: "pending",
|
|
})
|
|
.returning({ id: preLancamentos.id });
|
|
|
|
// Atualizar último uso do token
|
|
const clientIp =
|
|
request.headers.get("x-forwarded-for")?.split(",")[0]?.trim() ||
|
|
request.headers.get("x-real-ip") ||
|
|
null;
|
|
|
|
await db
|
|
.update(tokensApi)
|
|
.set({
|
|
lastUsedAt: new Date(),
|
|
lastUsedIp: clientIp,
|
|
})
|
|
.where(eq(tokensApi.id, tokenRecord.id));
|
|
|
|
return NextResponse.json(
|
|
{
|
|
id: inserted.id,
|
|
clientId: data.clientId,
|
|
message: "Notificação recebida",
|
|
},
|
|
{ status: 201 },
|
|
);
|
|
} catch (error) {
|
|
if (error instanceof z.ZodError) {
|
|
return NextResponse.json(
|
|
{ error: error.issues[0]?.message ?? "Dados inválidos" },
|
|
{ status: 400 },
|
|
);
|
|
}
|
|
|
|
console.error("[API] Error creating inbox item:", error);
|
|
return NextResponse.json(
|
|
{ error: "Erro ao processar notificação" },
|
|
{ status: 500 },
|
|
);
|
|
}
|
|
}
|