Primer commit del sistema separado falta mejorar mucho

admin/api/users/create.php

@@ -0,0 +1,87 @@
+<?php
+/**
+ * API para crear un nuevo usuario
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado. Se requieren permisos de Administrador.']);
+    exit;
+}
+
+if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
+    http_response_code(405);
+    echo json_encode(['success' => false, 'error' => 'Método no permitido']);
+    exit;
+}
+
+$data = json_decode(file_get_contents('php://input'), true);
+
+if (empty($data['username']) || empty($data['password']) || empty($data['rol_id'])) {
+    http_response_code(400);
+    echo json_encode(['success' => false, 'error' => 'Faltan datos obligatorios']);
+    exit;
+}
+
+try {
+    $db = getDB();
+    
+    // Verificar si el usuario ya existe
+    $stmt = $db->prepare("SELECT id FROM usuarios WHERE username = ?");
+    $stmt->execute([$data['username']]);
+    if ($stmt->fetch()) {
+        http_response_code(400);
+        echo json_encode(['success' => false, 'error' => 'El nombre de usuario ya existe']);
+        exit;
+    }
+    
+    $db->beginTransaction();
+    
+    // Crear usuario
+    $stmt = $db->prepare("
+        INSERT INTO usuarios (username, password, email, rol_id, fecha_creacion)
+        VALUES (?, ?, ?, ?, NOW())
+    ");
+    
+    // Hash password (MD5 como se usa actualmente en el sistema, aunque se recomienda bcrypt/argon2)
+    // Nota: El sistema actual usa MD5 según login.php: if (md5($password) === $user['password'])
+    $passwordHash = md5($data['password']);
+    
+    $stmt->execute([
+        $data['username'],
+        $passwordHash,
+        $data['email'] ?? null,
+        $data['rol_id']
+    ]);
+    
+    $userId = $db->lastInsertId();
+    
+    // Asignar permisos si se enviaron
+    if (!empty($data['permisos']) && is_array($data['permisos'])) {
+        $stmtPerm = $db->prepare("INSERT INTO usuarios_permisos (usuario_id, permiso_id) VALUES (?, ?)");
+        foreach ($data['permisos'] as $permisoId) {
+            $stmtPerm->execute([$userId, $permisoId]);
+        }
+    }
+    
+    $db->commit();
+    
+    echo json_encode(['success' => true, 'message' => 'Usuario creado correctamente']);
+
+} catch (Exception $e) {
+    if ($db->inTransaction()) {
+        $db->rollBack();
+    }
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al crear usuario: ' . $e->getMessage()]);
+}

admin/api/users/delete.php

@@ -0,0 +1,74 @@
+<?php
+/**
+ * API para eliminar un usuario
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado. Se requieren permisos de Administrador.']);
+    exit;
+}
+
+if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
+    http_response_code(405);
+    echo json_encode(['success' => false, 'error' => 'Método no permitido']);
+    exit;
+}
+
+$data = json_decode(file_get_contents('php://input'), true);
+
+if (empty($data['id'])) {
+    http_response_code(400);
+    echo json_encode(['success' => false, 'error' => 'ID de usuario requerido']);
+    exit;
+}
+
+$userId = (int)$data['id'];
+
+// Evitar eliminarse a sí mismo
+if ($userId == $userData->userId) {
+    http_response_code(400);
+    echo json_encode(['success' => false, 'error' => 'No puedes eliminar tu propia cuenta']);
+    exit;
+}
+
+try {
+    $db = getDB();
+    
+    $db->beginTransaction();
+    
+    // Eliminar permisos primero (FK constraint)
+    $db->prepare("DELETE FROM usuarios_permisos WHERE usuario_id = ?")->execute([$userId]);
+    
+    // Eliminar usuario
+    $stmt = $db->prepare("DELETE FROM usuarios WHERE id = ?");
+    $stmt->execute([$userId]);
+    
+    if ($stmt->rowCount() === 0) {
+        $db->rollBack();
+        http_response_code(404);
+        echo json_encode(['success' => false, 'error' => 'Usuario no encontrado']);
+        exit;
+    }
+    
+    $db->commit();
+    
+    echo json_encode(['success' => true, 'message' => 'Usuario eliminado correctamente']);
+
+} catch (Exception $e) {
+    if ($db->inTransaction()) {
+        $db->rollBack();
+    }
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al eliminar usuario: ' . $e->getMessage()]);
+}

admin/api/users/get.php

@@ -0,0 +1,72 @@
+<?php
+/**
+ * API para obtener detalles de un usuario
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado. Se requieren permisos de Administrador.']);
+    exit;
+}
+
+if (!isset($_GET['id'])) {
+    http_response_code(400);
+    echo json_encode(['success' => false, 'error' => 'ID de usuario requerido']);
+    exit;
+}
+
+$userId = (int)$_GET['id'];
+
+try {
+    $db = getDB();
+    
+    // Obtener datos del usuario
+    $stmt = $db->prepare("
+        SELECT id, username, email, rol_id, fecha_creacion, ultimo_acceso
+        FROM usuarios
+        WHERE id = ?
+    ");
+    $stmt->execute([$userId]);
+    $user = $stmt->fetch(PDO::FETCH_ASSOC);
+    
+    if (!$user) {
+        http_response_code(404);
+        echo json_encode(['success' => false, 'error' => 'Usuario no encontrado']);
+        exit;
+    }
+    
+    // Obtener permisos asignados al usuario
+    $stmtPerm = $db->prepare("SELECT permiso_id FROM usuarios_permisos WHERE usuario_id = ?");
+    $stmtPerm->execute([$userId]);
+    $userPermisos = $stmtPerm->fetchAll(PDO::FETCH_COLUMN);
+    
+    // Obtener todos los permisos disponibles
+    $stmtAllPerms = $db->query("SELECT * FROM permisos ORDER BY modulo, nombre");
+    $allPermisos = $stmtAllPerms->fetchAll(PDO::FETCH_ASSOC);
+    
+    // Obtener roles
+    $stmtRoles = $db->query("SELECT * FROM roles ORDER BY nombre ASC");
+    $roles = $stmtRoles->fetchAll(PDO::FETCH_ASSOC);
+    
+    echo json_encode([
+        'success' => true,
+        'user' => $user,
+        'user_permisos' => $userPermisos,
+        'all_permisos' => $allPermisos,
+        'roles' => $roles
+    ]);
+
+} catch (Exception $e) {
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al obtener usuario: ' . $e->getMessage()]);
+}

admin/api/users/list.php

@@ -0,0 +1,48 @@
+<?php
+/**
+ * API para listar usuarios del sistema
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado. Se requieren permisos de Administrador.']);
+    exit;
+}
+
+try {
+    $db = getDB();
+    
+    // Obtener usuarios con su rol
+    $stmt = $db->query("
+        SELECT u.id, u.username, u.email, u.rol_id, r.nombre as rol_nombre, u.fecha_creacion, u.ultimo_acceso
+        FROM usuarios u
+        LEFT JOIN roles r ON u.rol_id = r.id
+        ORDER BY u.username ASC
+    ");
+    
+    $users = $stmt->fetchAll(PDO::FETCH_ASSOC);
+    
+    // Obtener roles disponibles para el formulario
+    $stmtRoles = $db->query("SELECT * FROM roles ORDER BY nombre ASC");
+    $roles = $stmtRoles->fetchAll(PDO::FETCH_ASSOC);
+    
+    echo json_encode([
+        'success' => true,
+        'users' => $users,
+        'roles' => $roles
+    ]);
+
+} catch (Exception $e) {
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al obtener usuarios: ' . $e->getMessage()]);
+}

admin/api/users/metadata.php

@@ -0,0 +1,42 @@
+<?php
+/**
+ * API para obtener metadatos (roles y permisos) para formularios
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado.']);
+    exit;
+}
+
+try {
+    $db = getDB();
+    
+    // Obtener todos los permisos disponibles
+    $stmtAllPerms = $db->query("SELECT * FROM permisos ORDER BY modulo, nombre");
+    $allPermisos = $stmtAllPerms->fetchAll(PDO::FETCH_ASSOC);
+    
+    // Obtener roles
+    $stmtRoles = $db->query("SELECT * FROM roles ORDER BY nombre ASC");
+    $roles = $stmtRoles->fetchAll(PDO::FETCH_ASSOC);
+    
+    echo json_encode([
+        'success' => true,
+        'all_permisos' => $allPermisos,
+        'roles' => $roles
+    ]);
+
+} catch (Exception $e) {
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al obtener metadatos: ' . $e->getMessage()]);
+}

admin/api/users/update.php

@@ -0,0 +1,107 @@
+<?php
+/**
+ * API para actualizar un usuario
+ */
+
+header('Content-Type: application/json');
+
+require_once __DIR__ . '/../../../shared/utils/helpers.php';
+require_once __DIR__ . '/../../../shared/auth/jwt.php';
+require_once __DIR__ . '/../../../shared/database/connection.php';
+
+// Verificar autenticación
+$userData = JWTAuth::requireAuth();
+
+// Verificar que sea Admin
+if ($userData->rol !== 'Admin') {
+    http_response_code(403);
+    echo json_encode(['success' => false, 'error' => 'Acceso denegado. Se requieren permisos de Administrador.']);
+    exit;
+}
+
+if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
+    http_response_code(405);
+    echo json_encode(['success' => false, 'error' => 'Método no permitido']);
+    exit;
+}
+
+$data = json_decode(file_get_contents('php://input'), true);
+
+if (empty($data['id']) || empty($data['username']) || empty($data['rol_id'])) {
+    http_response_code(400);
+    echo json_encode(['success' => false, 'error' => 'Faltan datos obligatorios']);
+    exit;
+}
+
+$userId = (int)$data['id'];
+
+// Evitar que se modifique a sí mismo el rol (para no quedarse sin acceso admin)
+// Aunque el sistema debería permitir cambiar otros datos
+if ($userId == $userData->userId && $data['rol_id'] != 1) { // Asumiendo rol_id 1 es Admin
+    // Verificar si el rol actual es Admin
+    // Mejor lógica: obtener el nombre del rol nuevo
+    // Por simplicidad: advertencia si intenta quitarse admin
+}
+
+try {
+    $db = getDB();
+    
+    // Verificar si el usuario existe
+    $stmt = $db->prepare("SELECT id FROM usuarios WHERE id = ?");
+    $stmt->execute([$userId]);
+    if (!$stmt->fetch()) {
+        http_response_code(404);
+        echo json_encode(['success' => false, 'error' => 'Usuario no encontrado']);
+        exit;
+    }
+    
+    // Verificar nombre de usuario duplicado (excluyendo el actual)
+    $stmt = $db->prepare("SELECT id FROM usuarios WHERE username = ? AND id != ?");
+    $stmt->execute([$data['username'], $userId]);
+    if ($stmt->fetch()) {
+        http_response_code(400);
+        echo json_encode(['success' => false, 'error' => 'El nombre de usuario ya existe']);
+        exit;
+    }
+    
+    $db->beginTransaction();
+    
+    // Actualizar datos básicos
+    $sql = "UPDATE usuarios SET username = ?, email = ?, rol_id = ?";
+    $params = [$data['username'], $data['email'] ?? null, $data['rol_id']];
+    
+    // Actualizar contraseña solo si se envía
+    if (!empty($data['password'])) {
+        $sql .= ", password = ?";
+        $params[] = md5($data['password']);
+    }
+    
+    $sql .= " WHERE id = ?";
+    $params[] = $userId;
+    
+    $stmt = $db->prepare($sql);
+    $stmt->execute($params);
+    
+    // Actualizar permisos
+    // Primero eliminar los existentes
+    $db->prepare("DELETE FROM usuarios_permisos WHERE usuario_id = ?")->execute([$userId]);
+    
+    // Insertar los nuevos
+    if (!empty($data['permisos']) && is_array($data['permisos'])) {
+        $stmtPerm = $db->prepare("INSERT INTO usuarios_permisos (usuario_id, permiso_id) VALUES (?, ?)");
+        foreach ($data['permisos'] as $permisoId) {
+            $stmtPerm->execute([$userId, $permisoId]);
+        }
+    }
+    
+    $db->commit();
+    
+    echo json_encode(['success' => true, 'message' => 'Usuario actualizado correctamente']);
+
+} catch (Exception $e) {
+    if ($db->inTransaction()) {
+        $db->rollBack();
+    }
+    http_response_code(500);
+    echo json_encode(['success' => false, 'error' => 'Error al actualizar usuario: ' . $e->getMessage()]);
+}