<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

/**
 * 본사(HQ) 테넌트 소속 확인 미들웨어
 *
 * 로그인된 사용자가 본사 테넌트에 소속되어 있지 않으면
 * 로그아웃 처리하고 로그인 페이지로 리다이렉트합니다.
 */
class EnsureHQMember
{
    /**
     * Handle an incoming request.
     */
    public function handle(Request $request, Closure $next): Response
    {
        $user = $request->user();

        // 로그인되지 않은 경우 (auth 미들웨어가 처리하므로 여기선 패스)
        if (! $user) {
            return $next($request);
        }

        // 본사 소속이 아닌 경우 강제 로그아웃
        if (! $user->belongsToHQ()) {
            auth()->logout();
            $request->session()->invalidate();
            $request->session()->regenerateToken();

            return redirect('/login')
                ->withErrors(['email' => '본사 소속 직원만 관리자 패널에 접근할 수 있습니다.']);
        }

        // 비활성 계정인 경우 강제 로그아웃
        if (! $user->is_active) {
            auth()->logout();
            $request->session()->invalidate();
            $request->session()->regenerateToken();

            return redirect('/login')
                ->withErrors(['email' => '비활성화된 계정입니다. 관리자에게 문의하세요.']);
        }

        return $next($request);
    }
}