jv $%SrSSKrSSKrSSKrSSKJrJrJr SSKr Sq \\ \ S'S\\ 4SjrS\S\\\\44SjrS \R"S \\\4S\\\\44S jrS \R"S \S\\\\44S jrg!\ a Sr Nof=f)a Bridge auth Supabase <-> ERGON backend. Responsabilidades: - Validar JWTs emitidos por Supabase Auth usando SUPABASE_JWT_SECRET (HMAC SHA256) - Sincronizar usuario en tabla local `usuarios` cuando se autentica via Supabase (crea fila si no existe, actualiza last_login_at si existe) - Resolver session dict standard a partir de un JWT valido, compatible con el formato que ya consume _require_session() en servidor_local.py Convivencia con auth legacy: - Cookie ergon_session bcrypt sigue siendo valido (admin@demo.local, etc). - _require_session() acepta AMBOS: cookie O Authorization: Bearer . - Un usuario tiene UNA fuente de verdad: o supabase_uid != NULL (auth via SB) o password_hash != NULL (auth legacy). Nunca los dos. N)OptionalDictAny_JWT_SECRET_CACHEreturnc[b[$[RRSS5R 5nU(dg[ R "U5q[$![a URS5q[$f=f)zj Lee SUPABASE_JWT_SECRET del environment, decodifica base64 si aplica. Retorna bytes para PyJWT.decode(). NSUPABASE_JWT_SECRETzutf-8) rosenvirongetstripbase64 b64decode Exceptionencode)raws /app/db/supabase_auth.pyget_jwt_secretr!sx $  **... 3 9 9 ;C 0",,S1  0JJw/ 0sA!!BBtokenc [cg[5nUcg[R"UUS/SSSS.S9nU$![Ra g[a gf=f)a Valida un JWT emitido por Supabase Auth. Retorna el payload si es valido, o None si invalido/expirado/secret faltante. Payload tipico de Supabase: { "sub": "uuid-del-usuario", "email": "...", "role": "authenticated", "aud": "authenticated", "iss": "https://[ref].supabase.co/auth/v1", "iat": int, "exp": int, "app_metadata": {"provider": "google|facebook|email"}, "user_metadata": {"full_name": "...", ...} } NHS256 authenticatedT) verify_aud verify_exp) algorithmsaudienceoptions)pyjwtrdecodeInvalidTokenErrorr)rsecretpayloads rvalidate_supabase_jwtr$8so" }  F ~ ,,  y$#'t<    " " s6A AAconnr#cURS5nURS5=(d SR5R5nU(aU(dgURS5=(d 0nURS5=(d, URS5=(d URS5S R5nUR 5nUR S U45R 5nU(a;UR S US 45 UR5 US US US USUSS.$UR SU45R 5nU(a7UR SX'S 45 UR5 US X7S US USS.$UR SX5U45 URnUR5 XSUUSS.$)aG Sincroniza el usuario en la tabla local `usuarios` a partir de un JWT payload validado. Crea fila si no existe (rol cliente por default), actualiza last_login_at siempre. Retorna dict con shape compatible con session dict: {"id": int, "email": str, "rol": str, "nombre": str, "supabase_uid": str, "via": "supabase"} subemailr N user_metadata full_namename@rzBSELECT id, email, rol, nombre FROM usuarios WHERE supabase_uid = ?z@UPDATE usuarios SET last_login_at = datetime('now') WHERE id = ?supabase)idr(rolnombre supabase_uidviazMSELECT id, rol, nombre FROM usuarios WHERE email = ? AND supabase_uid IS NULLzRUPDATE usuarios SET supabase_uid = ?, last_login_at = datetime('now') WHERE id = ?z INSERT INTO usuarios (email, password_hash, nombre, rol, activo, supabase_uid, last_login_at) VALUES (?, NULL, ?, 'cliente', 1, ?, datetime('now')) cliente) r lowerrsplitcursorexecutefetchonecommit lastrowid) r%r#r4r(r)r3currownew_ids rsync_user_from_supabaserA^s;;u%L [[ ! 'R . . 0 6 6 8E uKK06BM ,` 0A0A&0I`U[[Y\M]^_M` g g iF ++-C ++L  hj   N VI  a&3q6#a&CF(  ++W  hj   ` q6 "  a&5Q3q6(  KK   % ]]FKKMY&$Z  auth_headercU(dgURSS5n[U5S:wdUSR5S:wagUSR5n[ U5nUcg[ X5$)z Punto de entrada single-call para el middleware del servidor. Recibe el valor crudo del header 'Authorization', valida el Bearer JWT, sincroniza el usuario y devuelve el session dict. Nr-r.rbearer)r8lenr7rr$rA)r%rCpartsrr#s r!session_from_authorization_headerrHsi    dA &E 5zQ%(..*h6 !HNN E#E*G "4 11rB)__doc__rr sqlite3typingrrrjwtr ImportErrorrbytes__annotations__rstrr$ ConnectionrArHrBrrSs" && &*8E?).##$sCx.)A#LF'"4"4FtCH~FRZ[_`ceh`h[iRjFR2G,>,>2S2U]^bcfhkck^lUm2] EsBBB