name: Build and Deploy

on:
  push:
    branches:
      - main

jobs:
  build-and-push: # Renombramos el job para que sea más claro
    runs-on: ubuntu-latest

    steps:
      - name: Checkout code
        uses: actions/checkout@v3

      # Ya no necesitamos login ni build por separado. Kaniko lo hace todo.
      - name: Build and Push Backend with Kaniko
        uses: gcr.io/kaniko-project/executor:v1.9.0
        with:
          # NOTA: Kaniko no usa "with:". Pasamos los argumentos directamente.
          # Esta es la sintaxis correcta para Gitea Actions.
          # ¡¡IMPORTANTE!! Pasamos los secretos como variables de entorno al contenedor.
          kaniko-args: >-
            --context=${{ gitea.workspace }}
            --dockerfile=${{ gitea.workspace }}/Backend/GestionIntegral.Api/Dockerfile
            --destination=${{ secrets.REGISTRY_URL }}/${{ gitea.actor }}/${{ toLower(gitea.repository_name) }}-backend:latest
            --destination=${{ secrets.REGISTRY_URL }}/${{ gitea.actor }}/${{ toLower(gitea.repository_name) }}-backend:${{ gitea.sha_short }}
            --insecure
        env:
          # Kaniko necesita las credenciales como un archivo de configuración.
          # Esta es la forma estándar de crearlo al vuelo.
          REGISTRY_AUTH: '{"auths":{"${{ secrets.REGISTRY_URL }}":{"username":"${{ secrets.REGISTRY_USER }}","password":"${{ secrets.ACTIONS_PAT }}"}}}'

      - name: Build and Push Frontend with Kaniko
        uses: gcr.io/kaniko-project/executor:v1.9.0
        with:
          kaniko-args: >-
            --context=${{ gitea.workspace }}
            --dockerfile=${{ gitea.workspace }}/Frontend/Dockerfile
            --destination=${{ secrets.REGISTRY_URL }}/${{ gitea.actor }}/${{ toLower(gitea.repository_name) }}-frontend:latest
            --destination=${{ secrets.REGISTRY_URL }}/${{ gitea.actor }}/${{ toLower(gitea.repository_name) }}-frontend:${{ gitea.sha_short }}
            --insecure
        env:
          REGISTRY_AUTH: '{"auths":{"${{ secrets.REGISTRY_URL }}":{"username":"${{ secrets.REGISTRY_USER }}","password":"${{ secrets.ACTIONS_PAT }}"}}}'

  # Creamos un segundo job para el despliegue, que depende del primero.
  deploy:
    runs-on: ubuntu-latest
    needs: build-and-push # Este job no se ejecuta hasta que el anterior termine con éxito.
    
    steps:
      - name: Deploy to Production
        run: |
          echo "Deploying to production server..."
          apk add --no-cache openssh-client
          mkdir -p ~/.ssh
          echo "${{ secrets.PROD_SERVER_SSH_KEY }}" > ~/.ssh/id_rsa
          chmod 600 ~/.ssh/id_rsa
          ssh-keyscan -H ${{ secrets.PROD_SERVER_HOST }} >> ~/.ssh/known_hosts
          
          ssh ${{ secrets.PROD_SERVER_USER }}@${{ secrets.PROD_SERVER_HOST }} << 'EOF'
            echo "--- CONECTADO AL SERVIDOR DE PRODUCCIÓN ---"
            cd /opt/gestion-integral
            
            export DB_SA_PASSWORD="${{ secrets.DB_SA_PASSWORD_SECRET }}"
            export JWT_KEY="${{ secrets.JWT_KEY_SECRET }}"
            
            docker login ${{ secrets.REGISTRY_URL }} -u ${{ secrets.REGISTRY_USER }} -p ${{ secrets.ACTIONS_PAT }}
            docker compose pull
            docker compose up -d
            docker image prune -af
            
            echo "--- DESPLIEGUE COMPLETADO ---"
          EOF