refactor(core): move app para src e padroniza estrutura

src/app/api/auth/device/refresh/route.ts

@@ -0,0 +1,85 @@
+import { and, eq, isNull } from "drizzle-orm";
+import { NextResponse } from "next/server";
+import { tokensApi } from "@/db/schema";
+import {
+	extractBearerToken,
+	hashToken,
+	refreshAccessToken,
+	verifyJwt,
+} from "@/shared/lib/auth/api-token";
+import { db } from "@/shared/lib/db";
+
+export async function POST(request: Request) {
+	try {
+		// Extrair refresh token do header
+		const authHeader = request.headers.get("Authorization");
+		const token = extractBearerToken(authHeader);
+
+		if (!token) {
+			return NextResponse.json(
+				{ error: "Refresh token não fornecido" },
+				{ status: 401 },
+			);
+		}
+
+		// Validar refresh token
+		const payload = verifyJwt(token);
+
+		if (!payload || payload.type !== "api_refresh") {
+			return NextResponse.json(
+				{ error: "Refresh token inválido ou expirado" },
+				{ status: 401 },
+			);
+		}
+
+		// Verificar se token não foi revogado
+		const tokenRecord = await db.query.tokensApi.findFirst({
+			where: and(
+				eq(tokensApi.id, payload.tokenId),
+				eq(tokensApi.userId, payload.sub),
+				isNull(tokensApi.revokedAt),
+			),
+		});
+
+		if (!tokenRecord) {
+			return NextResponse.json(
+				{ error: "Token revogado ou não encontrado" },
+				{ status: 401 },
+			);
+		}
+
+		// Gerar novo access token
+		const result = refreshAccessToken(token);
+
+		if (!result) {
+			return NextResponse.json(
+				{ error: "Não foi possível renovar o token" },
+				{ status: 401 },
+			);
+		}
+
+		// Atualizar hash do token e último uso
+		await db
+			.update(tokensApi)
+			.set({
+				tokenHash: hashToken(result.accessToken),
+				lastUsedAt: new Date(),
+				lastUsedIp:
+					request.headers.get("x-forwarded-for") ||
+					request.headers.get("x-real-ip"),
+				expiresAt: result.expiresAt,
+			})
+			.where(eq(tokensApi.id, payload.tokenId));
+
+		return NextResponse.json({
+			accessToken: result.accessToken,
+			expiresAt: result.expiresAt.toISOString(),
+		});
+	} catch (error) {
+		console.error("[API] Error refreshing device token:", error);
+		return NextResponse.json(
+			{ error: "Erro ao renovar token" },
+			{ status: 500 },
+		);
+	}
+}

src/app/api/auth/device/token/route.ts

@@ -0,0 +1,71 @@
+import { headers } from "next/headers";
+import { NextResponse } from "next/server";
+import { z } from "zod";
+import { tokensApi } from "@/db/schema";
+import {
+	generateTokenPair,
+	getTokenPrefix,
+	hashToken,
+} from "@/shared/lib/auth/api-token";
+import { auth } from "@/shared/lib/auth/config";
+import { db } from "@/shared/lib/db";
+
+const createTokenSchema = z.object({
+	name: z.string().min(1, "Nome é obrigatório").max(100, "Nome muito longo"),
+	deviceId: z.string().optional(),
+});
+
+export async function POST(request: Request) {
+	try {
+		// Verificar autenticação via sessão web
+		const session = await auth.api.getSession({ headers: await headers() });
+
+		if (!session?.user) {
+			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
+		}
+
+		// Validar body
+		const body = await request.json();
+		const { name, deviceId } = createTokenSchema.parse(body);
+
+		// Gerar par de tokens
+		const { accessToken, refreshToken, tokenId, expiresAt } = generateTokenPair(
+			session.user.id,
+			deviceId,
+		);
+
+		// Salvar hash do token no banco
+		await db.insert(tokensApi).values({
+			id: tokenId,
+			userId: session.user.id,
+			name,
+			tokenHash: hashToken(accessToken),
+			tokenPrefix: getTokenPrefix(accessToken),
+			expiresAt,
+		});
+
+		// Retornar tokens (mostrados apenas uma vez)
+		return NextResponse.json(
+			{
+				accessToken,
+				refreshToken,
+				tokenId,
+				name,
+				expiresAt: expiresAt.toISOString(),
+				message:
+					"Token criado com sucesso. Guarde-o em local seguro, ele não será mostrado novamente.",
+			},
+			{ status: 201 },
+		);
+	} catch (error) {
+		if (error instanceof z.ZodError) {
+			return NextResponse.json(
+				{ error: error.issues[0]?.message ?? "Dados inválidos" },
+				{ status: 400 },
+			);
+		}
+
+		console.error("[API] Error creating device token:", error);
+		return NextResponse.json({ error: "Erro ao criar token" }, { status: 500 });
+	}
+}

src/app/api/auth/device/tokens/[tokenId]/route.ts

@@ -0,0 +1,55 @@
+import { and, eq } from "drizzle-orm";
+import { headers } from "next/headers";
+import { NextResponse } from "next/server";
+import { tokensApi } from "@/db/schema";
+import { auth } from "@/shared/lib/auth/config";
+import { db } from "@/shared/lib/db";
+
+interface RouteParams {
+	params: Promise<{ tokenId: string }>;
+}
+
+export async function DELETE(_request: Request, { params }: RouteParams) {
+	try {
+		const { tokenId } = await params;
+
+		// Verificar autenticação via sessão web
+		const session = await auth.api.getSession({ headers: await headers() });
+
+		if (!session?.user) {
+			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
+		}
+
+		// Verificar se token pertence ao usuário
+		const token = await db.query.tokensApi.findFirst({
+			where: and(
+				eq(tokensApi.id, tokenId),
+				eq(tokensApi.userId, session.user.id),
+			),
+		});
+
+		if (!token) {
+			return NextResponse.json(
+				{ error: "Token não encontrado" },
+				{ status: 404 },
+			);
+		}
+
+		// Revogar token (soft delete)
+		await db
+			.update(tokensApi)
+			.set({ revokedAt: new Date() })
+			.where(eq(tokensApi.id, tokenId));
+
+		return NextResponse.json({
+			message: "Token revogado com sucesso",
+			tokenId,
+		});
+	} catch (error) {
+		console.error("[API] Error revoking device token:", error);
+		return NextResponse.json(
+			{ error: "Erro ao revogar token" },
+			{ status: 500 },
+		);
+	}
+}

src/app/api/auth/device/tokens/route.ts

@@ -0,0 +1,42 @@
+import { and, desc, eq, isNull } from "drizzle-orm";
+import { headers } from "next/headers";
+import { NextResponse } from "next/server";
+import { tokensApi } from "@/db/schema";
+import { auth } from "@/shared/lib/auth/config";
+import { db } from "@/shared/lib/db";
+
+export async function GET() {
+	try {
+		// Verificar autenticação via sessão web
+		const session = await auth.api.getSession({ headers: await headers() });
+
+		if (!session?.user) {
+			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
+		}
+
+		// Buscar tokens ativos do usuário
+		const activeTokens = await db
+			.select({
+				id: tokensApi.id,
+				name: tokensApi.name,
+				tokenPrefix: tokensApi.tokenPrefix,
+				lastUsedAt: tokensApi.lastUsedAt,
+				lastUsedIp: tokensApi.lastUsedIp,
+				expiresAt: tokensApi.expiresAt,
+				createdAt: tokensApi.createdAt,
+			})
+			.from(tokensApi)
+			.where(
+				and(eq(tokensApi.userId, session.user.id), isNull(tokensApi.revokedAt)),
+			)
+			.orderBy(desc(tokensApi.createdAt));
+
+		return NextResponse.json({ tokens: activeTokens });
+	} catch (error) {
+		console.error("[API] Error listing device tokens:", error);
+		return NextResponse.json(
+			{ error: "Erro ao listar tokens" },
+			{ status: 500 },
+		);
+	}
+}

src/app/api/auth/device/verify/route.ts

@@ -0,0 +1,73 @@
+import { and, eq, isNull } from "drizzle-orm";
+import { NextResponse } from "next/server";
+import { tokensApi } from "@/db/schema";
+import { extractBearerToken, hashToken } from "@/shared/lib/auth/api-token";
+import { db } from "@/shared/lib/db";
+
+export async function POST(request: Request) {
+	try {
+		// Extrair token do header
+		const authHeader = request.headers.get("Authorization");
+		const token = extractBearerToken(authHeader);
+
+		if (!token) {
+			return NextResponse.json(
+				{ valid: false, error: "Token não fornecido" },
+				{ status: 401 },
+			);
+		}
+
+		// Validar token os_xxx via hash lookup
+		if (!token.startsWith("os_")) {
+			return NextResponse.json(
+				{ valid: false, error: "Formato de token inválido" },
+				{ status: 401 },
+			);
+		}
+
+		// Hash do token para buscar no DB
+		const tokenHash = hashToken(token);
+
+		// Buscar token no banco
+		const tokenRecord = await db.query.tokensApi.findFirst({
+			where: and(
+				eq(tokensApi.tokenHash, tokenHash),
+				isNull(tokensApi.revokedAt),
+			),
+		});
+
+		if (!tokenRecord) {
+			return NextResponse.json(
+				{ valid: false, error: "Token inválido ou revogado" },
+				{ status: 401 },
+			);
+		}
+
+		// Atualizar último uso
+		const clientIp =
+			request.headers.get("x-forwarded-for")?.split(",")[0]?.trim() ||
+			request.headers.get("x-real-ip") ||
+			null;
+
+		await db
+			.update(tokensApi)
+			.set({
+				lastUsedAt: new Date(),
+				lastUsedIp: clientIp,
+			})
+			.where(eq(tokensApi.id, tokenRecord.id));
+
+		return NextResponse.json({
+			valid: true,
+			userId: tokenRecord.userId,
+			tokenId: tokenRecord.id,
+			tokenName: tokenRecord.name,
+		});
+	} catch (error) {
+		console.error("[API] Error verifying device token:", error);
+		return NextResponse.json(
+			{ valid: false, error: "Erro ao validar token" },
+			{ status: 500 },
+		);
+	}
+}