import express from 'express'; import { body, validationResult } from 'express-validator'; import pool from '../config/database.js'; import { authenticateToken, requireRole } from '../middleware/auth.js'; const router = express.Router(); // Alle Routen erfordern Authentifizierung router.use(authenticateToken); // GET alle Mitarbeiter (nur Admin) router.get('/', requireRole(['admin']), async (req, res) => { try { const [rows] = await pool.query( 'SELECT id, email, name, rolle, erstellt_am FROM mitarbeiter ORDER BY name ASC' ); res.json(rows); } catch (error) { console.error('Fehler beim Abrufen der Mitarbeiter:', error); res.status(500).json({ error: 'Serverfehler' }); } }); // GET einzelner Mitarbeiter router.get('/:id', async (req, res) => { try { const [rows] = await pool.query( 'SELECT id, email, name, rolle, erstellt_am FROM mitarbeiter WHERE id = ?', [req.params.id] ); if (rows.length === 0) { return res.status(404).json({ error: 'Mitarbeiter nicht gefunden' }); } res.json(rows[0]); } catch (error) { console.error('Fehler beim Abrufen des Mitarbeiters:', error); res.status(500).json({ error: 'Serverfehler' }); } }); // PUT Mitarbeiter aktualisieren (nur Admin oder eigener Account) router.put('/:id', [ body('name').optional().trim(), body('rolle').optional().isIn(['user', 'admin']) ], async (req, res) => { const errors = validationResult(req); if (!errors.isEmpty()) { return res.status(400).json({ errors: errors.array() }); } // Nur Admin darf andere Mitarbeiter bearbeiten oder Rollen ändern if (req.params.id !== req.user.id && req.user.rolle !== 'admin') { return res.status(403).json({ error: 'Keine Berechtigung' }); } // Nur Admin darf Rollen ändern if (req.body.rolle && req.user.rolle !== 'admin') { return res.status(403).json({ error: 'Keine Berechtigung zum Ändern der Rolle' }); } const { name, rolle } = req.body; const updates = []; const values = []; if (name) { updates.push('name = ?'); values.push(name); } if (rolle && req.user.rolle === 'admin') { updates.push('rolle = ?'); values.push(rolle); } if (updates.length === 0) { return res.status(400).json({ error: 'Keine Änderungen angegeben' }); } values.push(req.params.id); try { await pool.query( `UPDATE mitarbeiter SET ${updates.join(', ')} WHERE id = ?`, values ); const [updated] = await pool.query( 'SELECT id, email, name, rolle, erstellt_am FROM mitarbeiter WHERE id = ?', [req.params.id] ); if (updated.length === 0) { return res.status(404).json({ error: 'Mitarbeiter nicht gefunden' }); } res.json(updated[0]); } catch (error) { console.error('Fehler beim Aktualisieren des Mitarbeiters:', error); res.status(500).json({ error: 'Serverfehler' }); } }); // DELETE Mitarbeiter (nur Admin) router.delete('/:id', requireRole(['admin']), async (req, res) => { // Verhindere Selbstlöschung if (req.params.id === req.user.id) { return res.status(400).json({ error: 'Sie können sich nicht selbst löschen' }); } try { const [result] = await pool.query('DELETE FROM mitarbeiter WHERE id = ?', [req.params.id]); if (result.affectedRows === 0) { return res.status(404).json({ error: 'Mitarbeiter nicht gefunden' }); } res.json({ message: 'Mitarbeiter erfolgreich gelöscht' }); } catch (error) { console.error('Fehler beim Löschen des Mitarbeiters:', error); res.status(500).json({ error: 'Serverfehler' }); } }); export default router;