seguidorDeLotes/nuxt4/app/composables/useAuthentik.ts

/**
 * Composable para leer información de usuario de Authentik
 * Los headers son inyectados por Authentik Proxy Outpost
 */
export const useAuthentik = () => {
  // Leer headers en el servidor y almacenarlos en state
  const authentikUser = useState('authentikUser', () => {
    // Solo en el servidor, leer los headers
    if (process.server) {
      const headers = useRequestHeaders()

      const username = headers['x-authentik-username']
      const email = headers['x-authentik-email']
      const name = headers['x-authentik-name']
      const groups = headers['x-authentik-groups']
      const uid = headers['x-authentik-uid']

      // Si no hay username, el usuario no está autenticado
      if (!username) {
        return null
      }

      return {
        username,
        email,
        name,
        groups: groups ? groups.split('|') : [],
        uid,
        // Generar avatar URL usando UI Avatars
        avatar: `https://ui-avatars.com/api/?name=${encodeURIComponent(name || username)}&background=random&size=128`
      }
    }

    return null
  })

  const user = computed(() => authentikUser.value)
  const isAuthenticated = computed(() => !!user.value)

  const logout = () => {
    // Logout completo: invalida la sesión de Authentik completamente
    // Esto cierra sesión en todas las aplicaciones
    const authentikUrl = useRuntimeConfig().public.authentikUrl || 'https://authentik.nucleoriofrio.com'
    navigateTo(`${authentikUrl}/flows/-/default/invalidation/`, { external: true })
  }

  const goToProfile = () => {
    // URL de perfil de Authentik
    const authentikUrl = useRuntimeConfig().public.authentikUrl || 'https://authentik.nucleoriofrio.com'
    navigateTo(`${authentikUrl}/if/user/`, { external: true, open: { target: '_blank' } })
  }

  return {
    user,
    isAuthenticated,
    logout,
    goToProfile
  }
}