#!/usr/bin/env bash
# Wird als LETZTES File in /docker-entrypoint-initdb.d/ ausgeführt — nach den
# supabase-internen Init-Scripts (auth-schema, storage-schema, postgrest-roles,
# realtime-schema, supabase_admin-Setup, etc.). Erst hier kann auf auth.users
# als FK-Target referenziert werden.
#
# Applies die Rapport-Schema-Migrations aus /rapport-migrations/ als
# supabase_admin (Default-Superuser des supabase/postgres-Image).

set -euo pipefail

# Die supabase-internen Rollen werden vom Image mit Default-Passwörtern angelegt.
# GoTrue, PostgREST, Realtime und Storage verbinden sich aber mit POSTGRES_PASSWORD —
# daher müssen wir die Passwörter angleichen, sonst SASL/MD5-Auth-Fehler.
echo "→ Setze Passwörter für Supabase-Service-Rollen auf POSTGRES_PASSWORD…"
psql -v ON_ERROR_STOP=1 --no-password --no-psqlrc -U supabase_admin -d "${POSTGRES_DB:-postgres}" <<EOF
alter user authenticator              with password '${POSTGRES_PASSWORD}';
alter user supabase_auth_admin        with password '${POSTGRES_PASSWORD}';
alter user supabase_storage_admin     with password '${POSTGRES_PASSWORD}';
alter user supabase_replication_admin with password '${POSTGRES_PASSWORD}';
alter user supabase_read_only_user    with password '${POSTGRES_PASSWORD}';
EOF
echo "✓ Service-Rollen-Passwörter aktualisiert."

MIG_DIR=/rapport-migrations

if [ ! -d "$MIG_DIR" ]; then
  echo "→ $MIG_DIR fehlt — Rapport-Migrations werden NICHT angewendet."
  echo "  Run scripts/sync-migrations.sh vor docker compose up."
  exit 0
fi

echo "→ Apply Rapport-Migrations als supabase_admin…"
for sql in "$MIG_DIR"/*.sql; do
  [ -f "$sql" ] || continue
  echo "  ▸ $(basename "$sql")"
  psql -v ON_ERROR_STOP=1 --no-password --no-psqlrc -U supabase_admin -d "${POSTGRES_DB:-postgres}" -f "$sql"
done
echo "✓ Rapport-Schema bereit."