#!/usr/bin/env bash
# Публичная точка входа провижининга гриба. Безопасна для публикации (логика, не секреты).
# Запуск на СВЕЖЕМ грибе (root, временный интернет — ethernet на столе):
#   curl -fsSL https://bootstrap.mushrooms.devgroup.software | bash -s -- '<пароль>'
# Пароль гейтит доступ к секрет-бандлу (basic-auth). Без верного пароля — ничего не ставится.
set -euo pipefail
[ "$(id -u)" = 0 ] || { echo "Запусти как root."; exit 1; }

# Проверка платформы (защита от ошибки, не от злоумышленника): это должен быть гриб (Orange Pi, aarch64).
ARCH="$(uname -m)"
[ "$ARCH" = aarch64 ] || { echo "Провижининг только для гриба (Orange Pi, aarch64). Тут: $ARCH. Выход."; exit 1; }
command -v nmcli >/dev/null 2>&1 || { echo "Нет nmcli (NetworkManager) — это точно гриб? Выход."; exit 1; }

BASE="${BOOTSTRAP_BASE:-https://bootstrap.mushrooms.devgroup.software}"
PASS="${1:-}"
if [ -z "$PASS" ]; then read -rsp "Пароль провижининга: " PASS </dev/tty; echo; fi

TMP=$(mktemp -d); trap 'rm -rf "$TMP"' EXIT
echo "[bootstrap] тяну бандл с $BASE …"
if ! curl -fsS -u "bootstrap:$PASS" "$BASE/secrets.tar.gz" -o "$TMP/bundle.tgz"; then
  echo "[bootstrap] ОШИБКА: неверный пароль или нет доступа к $BASE/secrets.tar.gz"; exit 1
fi
tar xzf "$TMP/bundle.tgz" -C "$TMP"
[ -f "$TMP/provisioning/provision-satellite.sh" ] || { echo "[bootstrap] битый бандл"; exit 1; }

echo "[bootstrap] === параметры гриба ==="
read -rp "Hostname (кодирует местоположение, напр. M-SPB-Shurshawell): " HN </dev/tty
[ -n "$HN" ] || { echo "hostname обязателен"; exit 1; }

# --- интерактивный выбор Wi-Fi с проверкой и ретраем ---
echo "[bootstrap] === настройка Wi-Fi площадки ==="
while true; do
  echo "Сканирую…"
  mapfile -t WIFIS < <(nmcli -t -f SSID,SIGNAL,SECURITY dev wifi list --rescan yes 2>/dev/null \
                       | awk -F: '$1!=""' | sort -t: -k2 -rn | awk -F: '!seen[$1]++')
  if [ "${#WIFIS[@]}" -eq 0 ]; then
    echo "Сетей не видно. (r — пересканировать, q — пропустить Wi-Fi)"
  else
    i=1; for w in "${WIFIS[@]}"; do
      ssid="${w%%:*}"; sig="$(echo "$w" | cut -d: -f2)"; sec="$(echo "$w" | cut -d: -f3-)"
      printf "  %2d) %-30s сигнал:%3s%%  %s\n" "$i" "$ssid" "$sig" "${sec:-открытая}"; i=$((i+1))
    done
  fi
  read -rp "Номер сети (r — пересканировать, q — пропустить): " CH </dev/tty
  [ "$CH" = r ] && continue
  [ "$CH" = q ] && { echo "Wi-Fi пропущен (останешься на текущей сети)"; break; }
  case "$CH" in ''|*[!0-9]*) echo "нужно число"; continue;; esac
  [ "$CH" -ge 1 ] && [ "$CH" -le "${#WIFIS[@]}" ] || { echo "нет такого номера"; continue; }
  SSID="${WIFIS[$((CH-1))]%%:*}"
  read -rsp "Пароль для '$SSID' (пусто — если открытая): " WPW </dev/tty; echo
  echo "Подключаю '$SSID'…"
  if [ -n "$WPW" ]; then ok=1; nmcli dev wifi connect "$SSID" password "$WPW" || ok=0
  else ok=1; nmcli dev wifi connect "$SSID" || ok=0; fi
  [ "$ok" = 1 ] || { echo "❌ не подключился — ретрай"; continue; }
  echo "Проверяю интернет по Wi-Fi (wlan0 → Yandex DNS 77.88.8.8)…"
  if ping -I wlan0 -c2 -W3 77.88.8.8 >/dev/null 2>&1; then
    echo "✅ Wi-Fi '$SSID' подключён и интернет есть"; break
  else
    echo "⚠ подключился, но интернета через Wi-Fi нет (пароль? сеть?) — ретрай"
  fi
done

echo "[bootstrap] запускаю provision-satellite.sh …"
HN="$HN" bash "$TMP/provisioning/provision-satellite.sh" "$TMP"