base commit

server/src/plugins/auth.js

@@ -1,16 +1,23 @@
-/**
- * Простая защита админ-роутов: заголовок Authorization: Bearer <ADMIN_API_TOKEN>
- */
 export function registerAuth(fastify) {
+  function normalizeEmail(email) {
+    return String(email || '').trim().toLowerCase()
+  }
+
   fastify.decorate('verifyAdmin', async function verifyAdmin(request, reply) {
-    const token = process.env.ADMIN_API_TOKEN
-    if (!token) {
-      return reply.code(503).send({ error: 'ADMIN_API_TOKEN не задан в .env' })
+    const adminEmail = normalizeEmail(process.env.ADMIN_EMAIL)
+    if (!adminEmail || !adminEmail.includes('@')) {
+      return reply.code(503).send({ error: 'ADMIN_EMAIL не задан в .env' })
     }
-    const auth = request.headers.authorization
-    const match = typeof auth === 'string' ? auth.match(/^Bearer\s+(.+)$/i) : null
-    if (!match?.[1] || match[1] !== token) {
-      return reply.code(401).send({ error: 'Неверный или отсутствующий токен' })
+
+    try {
+      await request.jwtVerify()
+    } catch {
+      return reply.code(401).send({ error: 'Не авторизован' })
+    }
+
+    const userEmail = normalizeEmail(request.user?.email)
+    if (userEmail !== adminEmail) {
+      return reply.code(403).send({ error: 'Недостаточно прав' })
     }
   })
 }