Update routes/approvals.py

routes/approvals.py

@@ -55,7 +55,59 @@ def get_cached_admin_status(user_id: str) -> bool:
     user_info = response.json()[0]
     return user_info.get("is_admin", False)
 
-# 🔐 Verificação de token com permissões normais
+# Nova função para obter permissões do usuário
+async def get_user_permissions(user_id: str) -> Dict[str, bool]:
+    """Obtém as permissões de um usuário, incluindo approve_stylists"""
+    user_data_url = f"{SUPABASE_URL}/rest/v1/User?id=eq.{user_id}&select=is_admin,approve_stylists"
+    
+    async with aiohttp.ClientSession() as session:
+        async with session.get(user_data_url, headers=SUPABASE_HEADERS) as response:
+            if response.status != 200 or not await response.json():
+                return {"is_admin": False, "approve_stylists": False}
+            
+            user_info = (await response.json())[0]
+            return {
+                "is_admin": user_info.get("is_admin", False),
+                "approve_stylists": user_info.get("approve_stylists", False)
+            }
+
+# 🔐 Verificação de token com permissões especificadas
+async def verify_token_with_permissions(user_token: str, required_permission: Optional[str] = None) -> Dict[str, Any]:
+    """Verifica o token e verifica se o usuário tem a permissão necessária"""
+    headers = {
+        "Authorization": f"Bearer {user_token}",
+        "apikey": SUPABASE_KEY,
+        "Content-Type": "application/json"
+    }
+
+    async with aiohttp.ClientSession() as session:
+        async with session.get(f"{SUPABASE_URL}/auth/v1/user", headers=headers) as response:
+            if response.status != 200:
+                raise HTTPException(status_code=401, detail="Token inválido ou expirado")
+            
+            user_data = await response.json()
+            user_id = user_data.get("id")
+            if not user_id:
+                raise HTTPException(status_code=400, detail="ID do usuário não encontrado")
+    
+    # Obter permissões do usuário
+    permissions = await get_user_permissions(user_id)
+    
+    # Verificar permissão específica, se requisitada
+    if required_permission:
+        has_permission = permissions.get(required_permission, False)
+        if not has_permission:
+            raise HTTPException(
+                status_code=403, 
+                detail=f"Acesso negado: permissão '{required_permission}' necessária"
+            )
+    
+    return {
+        "user_id": user_id,
+        "permissions": permissions
+    }
+
+# 🔐 Verificação de token admin (mantida para compatibilidade)
 async def verify_admin_token(user_token: str) -> str:
     headers = {
         "Authorization": f"Bearer {user_token}",
@@ -154,7 +206,8 @@ async def approve_account(
     user_token: str = Header(None, alias="User-key")
 ):
     try:
-        await verify_admin_token(user_token)
+        # Verificar se o usuário tem permissão para aprovar estilistas
+        user_info = await verify_token_with_permissions(user_token, "approve_stylists")
 
         update_url = f"{SUPABASE_URL}/rest/v1/User?id=eq.{body.user_id}"
         payload = { "approved_account": True }
@@ -180,7 +233,8 @@ async def reject_account(
     user_token: str = Header(None, alias="User-key")
 ):
     try:
-        await verify_admin_token(user_token)
+        # Verificar se o usuário tem permissão para reprovar estilistas
+        user_info = await verify_token_with_permissions(user_token, "approve_stylists")
 
         update_url = f"{SUPABASE_URL}/rest/v1/User?id=eq.{body.user_id}"
         payload = {
@@ -208,7 +262,9 @@ async def pending_approvals_endpoint(
     user_token: str = Header(None, alias="User-key")
 ):
     try:
-        await verify_admin_token(user_token)
+        # Verificar se o usuário tem permissão para visualizar estilistas pendentes
+        user_info = await verify_token_with_permissions(user_token, "approve_stylists")
+        
         return await get_users_pending_approval()
     except HTTPException as he:
         raise he