<?php

namespace App\Services\Auth;

use App\Enums\RegistrationType;
use App\Models\User;

/**
 * Auflösung eines Social-Logins (Google, ggf. weitere) auf einen lokalen User.
 *
 * Identität ist die E-Mail (De-Dup darüber, keine Dubletten). Der Provider
 * bestätigt die E-Mail, daher gilt die Verifizierung über den Kanal als erfüllt
 * (Entscheidung 15.06.) – kein zusätzlicher E-Mail-Verifizierungsschritt.
 */
class SocialAuthService
{
    public function __construct(private readonly UserRolePermissionSyncService $roleSync) {}

    /**
     * Liefert den (ggf. neu angelegten) User zur Social-Identität. Ein
     * deaktivierter Bestands-Account wird NICHT reaktiviert – der Aufrufer prüft
     * danach is_active und blockiert.
     */
    public function resolveUser(string $provider, string $providerId, ?string $email, ?string $name): ?User
    {
        $email = $email ? mb_strtolower(trim($email)) : null;

        if ($email === null || $email === '') {
            return null;
        }

        $user = User::query()->whereRaw('LOWER(email) = ?', [$email])->first();

        if (! $user) {
            return $this->createUser($provider, $providerId, $email, $name);
        }

        $user->forceFill([
            'oauth_provider' => $provider,
            'oauth_provider_id' => $providerId,
        ]);

        // Noch nicht verifiziert (offener Selbst-Registrierer): der Provider
        // bestätigt die E-Mail → Onboarding abschließen (aktiv + customer).
        if ($user->email_verified_at === null) {
            $user->forceFill([
                'email_verified_at' => now(),
                'is_active' => true,
            ])->save();

            if ($user->roles()->doesntExist()) {
                $this->roleSync->assignRoleAndSyncPermissions($user, 'customer');
            }

            return $user;
        }

        // Bereits verifiziert: nur Provider verknüpfen. is_active bleibt
        // unangetastet (deaktivierte Accounts werden nicht reaktiviert).
        $user->save();

        return $user;
    }

    private function createUser(string $provider, string $providerId, string $email, ?string $name): User
    {
        $name = $name !== null ? trim($name) : '';

        $user = User::create([
            'name' => $name !== '' ? $name : $email,
            'email' => $email,
            'registration_type' => RegistrationType::Company->value,
            'is_active' => true,
            'oauth_provider' => $provider,
            'oauth_provider_id' => $providerId,
        ]);

        $user->forceFill(['email_verified_at' => now()])->save();
        $this->roleSync->assignRoleAndSyncPermissions($user, 'customer');

        return $user;
    }
}