feat: versão 1.5 - CRM Beta com leads, funis, campanhas e portal do cliente

2025-12-24 17:36:52 -03:00
parent 99d828869a
commit dfb91c8ba5
98 changed files with 18255 additions and 1465 deletions
--- a/backend/internal/api/middleware/auth.go
+++ b/backend/internal/api/middleware/auth.go
@@ -65,6 +65,16 @@ func Auth(cfg *config.Config) func(http.Handler) http.Handler {
 			tenantIDFromJWT, _ = tenantIDClaim.(string)
 		}

+		// VALIDAÇÃO DE SEGURANÇA: Verificar user_type para impedir clientes de acessarem rotas de agência
+		if userTypeClaim, ok := claims["user_type"]; ok && userTypeClaim != nil {
+			userType, _ := userTypeClaim.(string)
+			if userType == "customer" {
+				log.Printf("❌ CUSTOMER ACCESS BLOCKED: Customer %s tried to access agency route %s", userID, r.RequestURI)
+				http.Error(w, "Forbidden: Customers cannot access agency routes", http.StatusForbidden)
+				return
+			}
+		}
+
 		// VALIDAÇÃO DE SEGURANÇA: Verificar se o tenant_id do JWT corresponde ao subdomínio acessado
 		// Pegar o tenant_id do contexto (detectado pelo TenantDetector middleware ANTES deste)
 		tenantIDFromContext := ""