module.exports = {

  requireSuperAdmin(req, res, next) {
    if (req.user?.role !== 'superadmin') {
      return res.status(403).json({ error: 'Accès réservé au super-administrateur' });
    }
    next();
  },

  requireAdmin(req, res, next) {
    if (!['superadmin', 'admin'].includes(req.user?.role)) {
      return res.status(403).json({ error: 'Accès réservé aux administrateurs' });
    }
    next();
  },

  requireUser(req, res, next) {
    if (!req.user?.role) {
      return res.status(403).json({ error: 'Accès non autorisé' });
    }
    next();
  },

  // Injecte req.regionFilter : null = toutes régions, string = région filtrée
  filterByRegion(req, res, next) {
    req.regionFilter = (req.user?.role === 'user' && req.user.region !== 'all')
      ? req.user.region
      : null;
    next();
  },

};