feat: versão 1.5 - CRM Beta com leads, funis, campanhas e portal do cliente

2025-12-24 17:36:52 -03:00
parent 99d828869a
commit dfb91c8ba5
98 changed files with 18255 additions and 1465 deletions
--- a/backend/internal/api/middleware/collaborator_readonly.go
+++ b/backend/internal/api/middleware/collaborator_readonly.go
@@ -0,0 +1,44 @@
+package middleware
+
+import (
+	"log"
+	"net/http"
+	"strings"
+)
+
+// CheckCollaboratorReadOnly verifica se um colaborador está tentando fazer operações de escrita
+// Se sim, bloqueia com 403
+func CheckCollaboratorReadOnly(next http.Handler) http.Handler {
+	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+		// Verificar agency_role do contexto
+		agencyRole, ok := r.Context().Value("agency_role").(string)
+		if !ok {
+			// Se não houver agency_role no contexto, é um customer, deixa passar
+			next.ServeHTTP(w, r)
+			return
+		}
+
+		// Apenas colaboradores têm restrição de read-only
+		if agencyRole != "collaborator" {
+			next.ServeHTTP(w, r)
+			return
+		}
+
+		// Verificar se é uma operação de escrita
+		method := r.Method
+		if method == http.MethodPost || method == http.MethodPut || method == http.MethodDelete {
+			// Verificar a rota
+			path := r.URL.Path
+			
+			// Bloquear operações de escrita em CRM
+			if strings.Contains(path, "/api/crm/") {
+				userID, _ := r.Context().Value(UserIDKey).(string)
+				log.Printf("❌ COLLABORATOR WRITE BLOCKED: User %s (collaborator) tried %s %s", userID, method, path)
+				http.Error(w, "Colaboradores têm acesso somente leitura", http.StatusForbidden)
+				return
+			}
+		}
+
+		next.ServeHTTP(w, r)
+	})
+}