/* ClientBase, App data layer, modal, toasts, shared form primitives */
const CB_LS_KEY = "cb_app_data_v3";
const CB_USER_KEY = "cb_user_v1";
const CB_COOKIE_KEY = "cb_cookie_consent_v1";
const uid = () => Math.random().toString(36).slice(2, 10);
const slugify = (str) => (str || "")
.toLowerCase()
.normalize("NFD")
.replace(/[\u0300-\u036f]/g, "")
.replace(/[^a-z0-9]+/g, "-")
.replace(/^-+|-+$/g, "")
.slice(0, 28);
const generateBookingSlug = (businessName) => {
const base = slugify(businessName) || "pro";
return `${base}-${Math.random().toString(36).slice(2, 6)}`;
};
/* ===== Auth, Supabase si dispo, sinon fallback localStorage ===== */
const _sha256 = async (str) => {
const buf = new TextEncoder().encode(str);
const hash = await crypto.subtle.digest("SHA-256", buf);
return Array.from(new Uint8Array(hash)).map(b => b.toString(16).padStart(2, "0")).join("");
};
const _authListeners = new Set();
const _notifyAuth = () => _authListeners.forEach(fn => { try { fn(cbAuth.getCurrentUser()); } catch (e) { console.error(e); } });
// Cache du user courant (lu de façon synchrone par l'UI).
// Hydraté depuis localStorage au démarrage, rafraîchi depuis Supabase si connecté.
let _currentUser = (() => {
try { return JSON.parse(localStorage.getItem(CB_USER_KEY) || "null"); }
catch { return null; }
})();
const _setCurrentUser = (u) => {
_currentUser = u;
if (u) localStorage.setItem(CB_USER_KEY, JSON.stringify(u));
else localStorage.removeItem(CB_USER_KEY);
_notifyAuth();
};
// Lit la ligne `businesses` de l'utilisateur et fusionne les infos
// (businessName, ownerName, bookingSlug) dans le cache. Fait aussi la
// création d'urgence si le trigger a raté.
const _hydrateFromSupabase = async (session) => {
if (!session || !window.cbSupabase) return null;
const sb = window.cbSupabase;
const u = session.user;
let { data: biz } = await sb
.from("businesses")
.select("name, owner, booking_slug")
.eq("user_id", u.id)
.maybeSingle();
// Si le trigger n'a pas encore provisionné la ligne (signup first-time), on l'attend.
if (!biz) {
await new Promise(r => setTimeout(r, 400));
const retry = await sb.from("businesses").select("name, owner, booking_slug").eq("user_id", u.id).maybeSingle();
biz = retry.data;
}
// GUARD anti-race : entre le début de cette fonction et maintenant, un
// autre code a peut-être fait signOut (ex: pro login gate qui rejette
// un compte client → signOut → mais _hydrateFromSupabase déjà en cours
// depuis l'event SIGNED_IN). Si la session n'est plus active, on
// n'écrase PAS le state cleared. Sinon, le bouton "Mon espace" du
// user rejeté apparaîtrait quand même.
try {
const { data: nowSession } = await sb.auth.getSession();
if (!nowSession || !nowSession.session) {
window.cbDebug && window.cbDebug.log("[_hydrateFromSupabase] session disparue pendant l'hydratation → skip");
return null;
}
} catch {}
// Idem : si c'est un compte client (pas de businesses row), on ne pose
// PAS _currentUser pro. Le compte client a son propre flow
// (EspacePage avec token='me') qui lit la session via getUser.
if (!biz) {
window.cbDebug && window.cbDebug.log("[_hydrateFromSupabase] aucune business row → user pas pro, skip _setCurrentUser pro");
return null;
}
const meta = u.user_metadata || {};
const user = {
id: u.id,
email: u.email,
emailVerified: !!u.email_confirmed_at,
businessName: biz.name || meta.business_name || "Mon activité",
ownerName: biz.owner || meta.owner_name || (u.email || "").split("@")[0],
bookingSlug: biz.booking_slug || generateBookingSlug(meta.business_name || "pro"),
createdAt: u.created_at ? Date.parse(u.created_at) : Date.now(),
};
_setCurrentUser(user);
return user;
};
// Hydratation initiale + validation session orpheline.
// IMPORTANT : si on a un cache localStorage qui ressemble à un user Supabase
// (id UUID v4) mais que Supabase n'a PAS de session active, c'est une
// session zombie (compte supprimé côté DB, token expiré non-refreshable,
// etc.). On nettoie pour éviter d'afficher "Espace pro" pour un fantôme.
const _looksLikeSupabaseUserId = (id) =>
typeof id === "string" && /^[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}$/i.test(id);
// Cleanup tous les caches d'auth locaux (pro + client + last audience).
const _cleanupAllAuthCaches = () => {
try { localStorage.removeItem("cb_client_v1"); } catch {}
try { localStorage.removeItem("cb_last_audience"); } catch {}
_setCurrentUser(null);
};
if (window.cbSupabase) {
window.cbSupabase.auth.getSession().then(async ({ data }) => {
if (data.session) {
// Session active : on valide aussi côté serveur que l'user existe
// toujours (auth.users). getUser() refait un round-trip qui échoue
// si le compte a été supprimé en DB pendant que le token était cached.
try {
const { data: u, error } = await window.cbSupabase.auth.getUser();
if (error || !u || !u.user) {
window.cbDebug && window.cbDebug.warn("[auth] session token valide mais user introuvable côté DB → cleanup");
try { await window.cbSupabase.auth.signOut({ scope: "local" }); } catch {}
_cleanupAllAuthCaches();
return;
}
} catch {}
_hydrateFromSupabase(data.session);
} else if (_currentUser && _looksLikeSupabaseUserId(_currentUser.id)) {
// Pas de session active + cache local avec un UUID Supabase = zombie.
// On nettoie. Pour les users legacy (sans id ou id custom) on laisse
// tel quel pour ne pas casser la migration bêta v1→v2.
window.cbDebug && window.cbDebug.warn("[auth] cache local user Supabase sans session active → cleanup");
try { await window.cbSupabase.auth.signOut({ scope: "local" }); } catch {}
_cleanupAllAuthCaches();
}
});
window.cbSupabase.auth.onAuthStateChange((event, session) => {
// SIGNED_OUT explicite → on déconnecte vraiment.
if (event === "SIGNED_OUT") {
_setCurrentUser(null);
return;
}
// INITIAL_SESSION sans session = au démarrage il n'y a pas de session Supabase.
// NE PAS effacer le user local (ex. user démo, ou user en fallback localStorage) :
// on laisse simplement le cache local en place, tel quel.
if (!session) return;
// SIGNED_IN / TOKEN_REFRESHED / USER_UPDATED avec session → vraie connexion Supabase.
// Nettoie tout flag démo résiduel et hydrate depuis la base.
try {
localStorage.removeItem("cb_demo_mode");
sessionStorage.removeItem("cb_demo_welcome_seen");
sessionStorage.removeItem("cb_demo_backup");
} catch {}
_hydrateFromSupabase(session);
});
}
/* ---- Validations partagées (email + mot de passe) ---- */
const EMAIL_RE = /^[^\s@]+@[^\s@]+\.[a-zA-Z]{2,}$/;
const isValidEmail = (s) => EMAIL_RE.test((s || "").trim());
// Règles renforcées : 10 caractères minimum + majuscule + minuscule
// + chiffre + caractère spécial. Inspiré des standards des outils SaaS
// modernes (Stripe, GitHub, etc.).
const passwordRules = (p) => ({
len: !!p && p.length >= 10,
upper: !!p && /[A-Z]/.test(p),
lower: !!p && /[a-z]/.test(p),
digit: !!p && /[0-9]/.test(p),
symbol: !!p && /[^A-Za-z0-9\s]/.test(p),
});
const validatePassword = (p) => {
const r = passwordRules(p);
if (!r.len) return "Mot de passe trop court (10 caractères minimum).";
if (!r.upper) return "Le mot de passe doit contenir au moins une majuscule.";
if (!r.lower) return "Le mot de passe doit contenir au moins une minuscule.";
if (!r.digit) return "Le mot de passe doit contenir au moins un chiffre.";
if (!r.symbol) return "Le mot de passe doit contenir au moins un caractère spécial (!, ?, @, …).";
return null;
};
// Score sur 5 = nombre de critères validés. Utilisé par la jauge visuelle.
const scorePassword = (p) => {
const r = passwordRules(p);
return [r.len, r.upper, r.lower, r.digit, r.symbol].filter(Boolean).length;
};
const cbAuth = {
getCurrentUser: () => _currentUser,
isValidEmail,
validatePassword,
scorePassword,
signup: async ({ email, password, businessName, ownerName, phone }) => {
email = (email || "").trim().toLowerCase();
if (!isValidEmail(email)) return { error: "Email invalide. Exemple : prenom@exemple.fr" };
const pwErr = validatePassword(password);
if (pwErr) return { error: pwErr };
if (!businessName || !businessName.trim()) return { error: "Nom de l'activité requis." };
if (!ownerName || !ownerName.trim()) return { error: "Votre nom est requis." };
// Téléphone obligatoire côté pro (utilisé pour le support + affichage
// dans les factures + numéro visible par les clients sur la page de
// réservation publique). Côté client il reste optionnel (EspaceLogin).
const phoneTrim = (phone || "").trim();
if (!phoneTrim) return { error: "Votre téléphone est requis (visible sur vos factures et votre page de RDV)." };
if (phoneTrim.replace(/\D/g, "").length < 9) return { error: "Téléphone invalide (au moins 9 chiffres)." };
if (window.cbSupabase) {
const { data, error } = await window.cbSupabase.auth.signUp({
email, password,
options: {
data: {
// role = "pro" marque ce compte comme pro côté backend. Sert au
// gate des deux pages de login (LoginPage refuse les comptes
// role=client, EspaceLogin refuse les comptes role=pro). Sans
// cette marque, un compte client pourrait se loguer en pro.
role: "pro",
business_name: businessName.trim(),
owner_name: ownerName.trim(),
phone: phoneTrim,
},
},
});
if (error) return { error: _prettifyAuthError(error.message) };
// Quand "Confirm email" est OFF dans Supabase (recommandé), on a
// une session immédiate → utilisateur connecté direct.
if (data.session) {
const user = await _hydrateFromSupabase(data.session);
return { ok: true, user };
}
// Sinon, ça veut dire que "Confirm email" est ON côté Supabase.
// On informe sans bloquer.
return { ok: true, user: null, needsEmailConfirm: true };
}
// Fallback localStorage (pas de Supabase)
const passHash = await _sha256(password);
const user = {
email, passHash,
businessName: businessName.trim(),
ownerName: ownerName.trim(),
phone: phoneTrim,
bookingSlug: generateBookingSlug(businessName),
createdAt: Date.now(),
};
_setCurrentUser(user);
return { ok: true, user };
},
login: async ({ email, password }) => {
email = (email || "").trim().toLowerCase();
if (!email || !password) return { error: "Email et mot de passe requis." };
if (!isValidEmail(email)) return { error: "Email invalide. Exemple : prenom@exemple.fr" };
if (window.cbSupabase) {
const { data, error } = await window.cbSupabase.auth.signInWithPassword({ email, password });
if (error) return { error: _prettifyAuthError(error.message) };
// Gate symétrique : un compte client ne doit PAS pouvoir se
// connecter à l'espace pro. On utilise la table `businesses`
// comme source de vérité (plus fiable que metadata.role qui peut
// être absent ou mal posé).
// businesses count = 0 → client → REJET
// businesses count > 0 → pro → autorisé
// En cas d'échec de la requête (RLS bizarre, réseau), on autorise
// pour ne pas bloquer un vrai pro sur un transient.
try {
const { count } = await window.cbSupabase
.from("businesses")
.select("user_id", { count: "exact", head: true })
.eq("user_id", data.user.id);
const isPro = (count || 0) > 0;
window.cbDebug && window.cbDebug.log("[pro login] user.id:", data.user.id, "businesses count:", count, "→ isPro:", isPro);
if (!isPro) {
try { await window.cbSupabase.auth.signOut(); } catch {}
// Cleanup explicite pour bypasser la race avec _hydrateFromSupabase
// qui pourrait être en cours depuis l'event SIGNED_IN. Sans ça,
// le user rejeté apparaissait quand même en haut à droite ("Mon
// espace") car _hydrateFromSupabase finissait après signOut et
// écrasait le _currentUser=null.
_cleanupAllAuthCaches();
// Retour enrichi : permet à l'UI de proposer un CTA "Aller à
// l'espace client avec mon email pré-rempli" sans repartir de
// zéro pour le user.
return {
error: "Cet email correspond à un compte CLIENT. Utilisez l'espace client.",
wrongAudience: "client",
email,
};
}
} catch (e) {
window.cbDebug && window.cbDebug.warn("[pro login] businesses check failed:", e);
}
const user = await _hydrateFromSupabase(data.session);
return { ok: true, user };
}
// Fallback localStorage
const saved = _currentUser;
if (!saved) return { error: "Aucun compte trouvé. Créez votre compte d'abord." };
if (saved.email !== email) return { error: "Email ou mot de passe incorrect." };
const passHash = await _sha256(password);
if (saved.passHash !== passHash) return { error: "Email ou mot de passe incorrect." };
_notifyAuth();
return { ok: true, user: saved };
},
// OAuth Google : 1 clic, l'utilisateur revient connecté.
// ⚙️ Nécessite Google activé dans Supabase Auth → Providers (Client ID +
// Secret depuis Google Cloud Console).
loginWithGoogle: async () => {
if (!window.cbSupabase) return { error: "Service indisponible." };
try {
const { error } = await window.cbSupabase.auth.signInWithOAuth({
provider: "google",
options: { redirectTo: window.location.origin + "/v2/app" },
});
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true }; // redirection en cours
} catch (e) { return { error: "Connexion Google indisponible." }; }
},
// OAuth Apple : idem côté code, mais nécessite un compte Apple Developer
// ($99/an) + config Sign in with Apple côté Supabase.
loginWithApple: async () => {
if (!window.cbSupabase) return { error: "Service indisponible." };
try {
const { error } = await window.cbSupabase.auth.signInWithOAuth({
provider: "apple",
options: { redirectTo: window.location.origin + "/v2/app" },
});
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
} catch (e) { return { error: "Connexion Apple indisponible." }; }
},
// Lien magique : envoie un email avec un lien à 1 clic. Idéal mobile,
// pas de mot de passe à retenir. Utilise Supabase signInWithOtp.
requestMagicLink: async (email) => {
email = (email || "").trim().toLowerCase();
if (!isValidEmail(email)) return { error: "Email invalide." };
if (!window.cbSupabase) return { error: "Service indisponible. Connectez-vous avec votre mot de passe." };
try {
const { error } = await window.cbSupabase.auth.signInWithOtp({
email,
options: {
// Le callback arrive sur /v2/?code=… → routé en pro par le détecteur d'audience.
emailRedirectTo: window.location.origin + "/v2/app",
shouldCreateUser: false, // on n'autorise QUE la reconnexion (pas de signup furtif)
},
});
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
} catch (e) {
return { error: "Impossible d'envoyer le lien. Réessayez." };
}
},
logout: async () => {
if (window.cbSupabase) {
try { await window.cbSupabase.auth.signOut(); } catch (e) { console.error(e); }
}
// Cleanup COMPLET : pas seulement le user pro mais aussi les caches
// d'audience (cb_last_audience) et la session client legacy
// (cb_client_v1). Sinon après logout, le bouton vitrine continue
// d'afficher "Espace pro" ou "Espace client" via le fallback
// lastAudience dans Nav (shared.jsx ~ligne 815).
_cleanupAllAuthCaches();
},
ensureBookingSlug: () => {
const u = _currentUser;
if (!u) return null;
if (u.bookingSlug) return u.bookingSlug;
u.bookingSlug = generateBookingSlug(u.businessName);
_setCurrentUser({ ...u });
return u.bookingSlug;
},
updateBookingSlug: (newSlug) => {
const u = _currentUser;
if (!u) return null;
const clean = slugify(newSlug);
if (!clean) return u.bookingSlug;
if (window.cbSupabase && u.id) {
window.cbSupabase
.from("businesses")
.update({ booking_slug: clean })
.eq("user_id", u.id)
.then(({ error }) => {
if (error && error.code === "23505") {
// collision unique, on retombe sur l'ancien slug
window.cbDebug && window.cbDebug.warn("[cbAuth] slug déjà pris :", clean);
}
});
}
_setCurrentUser({ ...u, bookingSlug: clean });
return clean;
},
findUserBySlug: (slug) => {
// Synchrone, ne regarde que le user local. La page publique de réservation
// appellera la RPC `get_public_booking` à l'étape 5.
const u = _currentUser;
if (u && u.bookingSlug === slug) return u;
return null;
},
onChange: (fn) => {
_authListeners.add(fn);
return () => _authListeners.delete(fn);
},
/** Envoie un email de réinitialisation. Le lien renvoie vers l'app
avec `?reset=1#access_token=…` → détecté au boot (index.html). */
resetPassword: async (email) => {
email = (email || "").trim().toLowerCase();
if (!isValidEmail(email)) return { error: "Email invalide." };
if (!window.cbSupabase) return { error: "Fonction indisponible en mode bêta locale." };
const origin = `${window.location.origin}${window.location.pathname}?reset=1`;
const { error } = await window.cbSupabase.auth.resetPasswordForEmail(email, { redirectTo: origin });
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
},
/** Applique un nouveau mot de passe (user doit être authentifié via le lien reçu). */
updatePassword: async (newPassword) => {
const pwErr = validatePassword(newPassword);
if (pwErr) return { error: pwErr };
if (!window.cbSupabase) return { error: "Fonction indisponible en mode bêta locale." };
const { error } = await window.cbSupabase.auth.updateUser({ password: newPassword });
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
},
/** Renvoie un email de confirmation d'inscription à l'utilisateur actuel. */
resendVerification: async () => {
if (!window.cbSupabase) return { error: "Fonction indisponible en mode bêta locale." };
const u = _currentUser;
if (!u || !u.email) return { error: "Aucun compte connecté." };
const { error } = await window.cbSupabase.auth.resend({ type: "signup", email: u.email });
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
},
/** Change l'email du compte. Supabase envoie un email de confirmation au
nouvel email ; le changement est effectif une fois le lien cliqué. */
changeEmail: async (newEmail) => {
newEmail = (newEmail || "").trim().toLowerCase();
if (!isValidEmail(newEmail)) return { error: "Email invalide." };
if (!window.cbSupabase) return { error: "Fonction indisponible en mode bêta locale." };
const u = _currentUser;
if (u && u.email === newEmail) return { error: "C'est déjà votre email actuel." };
const { error } = await window.cbSupabase.auth.updateUser({ email: newEmail });
if (error) return { error: _prettifyAuthError(error.message) };
return { ok: true };
},
};
const _prettifyAuthError = (msg) => {
const m = (msg || "").toLowerCase();
if (m.includes("already registered") || m.includes("user already"))
return "Un compte existe déjà avec cet email. Connectez-vous.";
if (m.includes("invalid login") || m.includes("invalid credentials"))
return "Email ou mot de passe incorrect.";
if (m.includes("email not confirmed"))
return "Email non confirmé. Vérifiez votre boîte de réception.";
if (m.includes("password should be") || m.includes("weak password"))
return "Mot de passe trop faible (6 caractères minimum).";
if (m.includes("rate limit") || m.includes("too many"))
return "Trop de tentatives. Patientez quelques minutes.";
if (m.includes("redirect") && m.includes("not allowed"))
return "URL de redirection non autorisée. Contactez le support.";
// Erreur 500 / problème SMTP → message clair plutôt que "Internal Server Error"
if (m.includes("500") || m.includes("internal server") || m.includes("smtp"))
return "L'envoi d'email a échoué côté serveur. Réessayez dans 2 minutes, si ça persiste, écrivez-nous à clientbase.fr@gmail.com.";
return msg || "Une erreur est survenue.";
};
const useCurrentUser = () => {
const [user, setUser] = React.useState(() => cbAuth.getCurrentUser());
React.useEffect(() => cbAuth.onChange(setUser), []);
return user;
};
/* ===== Cookie banner ===== */
const useCookieConsent = () => {
const [consent, setConsent] = React.useState(() => localStorage.getItem(CB_COOKIE_KEY));
const set = (val) => {
localStorage.setItem(CB_COOKIE_KEY, val);
setConsent(val);
};
return [consent, set];
};
// Cookie banner avec un peu de personnalité : un cookie 🍪 qui tourne
// à l'apparition + texte décontracté qui ne ressemble pas à de la
// paperasse RGPD. Slide-up depuis le bas, anim douce, audience-color
// pour rester dans la DA du site.
const CookieBanner = ({ onOpenCookies }) => {
const [consent, setConsent] = useCookieConsent();
const [mounted, setMounted] = React.useState(false);
React.useEffect(() => {
if (consent) return;
// Petit délai avant d'apparaître pour ne pas dérouter dès l'arrivée
const t = setTimeout(() => setMounted(true), 800);
return () => clearTimeout(t);
}, [consent]);
if (consent) return null;
return (