.env.production.example

# ============================================================
#  Pumpkin Hub — Variables d'environnement de PRODUCTION
#  Copier ce fichier vers .env et renseigner toutes les valeurs.
#  Configurer ces variables dans l'interface Coolify (Docker Compose Stack).
#  Ne jamais commiter le .env réel dans le dépôt.
# ============================================================

# ── CONTRAT CSP ───────────────────────────────────────────────────────────────
# Les variables NEXT_PUBLIC_* ci-dessous doivent avoir les mêmes valeurs que les
# secrets GitHub du même nom (utilisés comme build-args dans docker.yml).
# Toute divergence entre la valeur baked au build et la valeur runtime provoque
# des violations CSP en production.
# ─────────────────────────────────────────────────────────────────────────────

# URL publique de l'API (ex: https://api.pumpkinhub.org)
# Secret GitHub requis : NEXT_PUBLIC_API_URL
NEXT_PUBLIC_API_URL=https://api.pumpkinhub.org

# URL publique du bucket R2 via domaine custom (ex: https://r2.pumpkinhub.org)
# Utilisée pour : CSP img-src, Next.js remotePatterns, et S3_PUBLIC_URL de l'API.
# Secret GitHub requis : NEXT_PUBLIC_S3_PUBLIC_URL
NEXT_PUBLIC_S3_PUBLIC_URL=https://r2.pumpkinhub.org

# Origine des URLs présignées R2 (ex: https://bucket.accountid.r2.cloudflarestorage.com)
# Laisser vide si S3_USE_DIRECT_URLS=true et que le domaine custom suffit pour la CSP.
# Secret GitHub requis : NEXT_PUBLIC_S3_PRESIGNED_ORIGIN
NEXT_PUBLIC_S3_PRESIGNED_ORIGIN=

# ── API — URLs et domaines ────────────────────────────────────────────────────

# URL publique de l'API — SANS slash final (utilisée pour construire les redirect URIs OAuth)
API_PUBLIC_URL=https://api.pumpkinhub.org

# Origines autorisées par le CORS (séparées par virgule si plusieurs)
ALLOWED_ORIGINS=https://pumpkinhub.org

# Domaine du cookie d'auth (avec point initial pour couvrir les sous-domaines)
COOKIE_DOMAIN=.pumpkinhub.org

# ── PostgreSQL ─────────────────────────────────────────────────────────────────
POSTGRES_USER=pumpkin
POSTGRES_PASSWORD=CHANGEME_strong_password_here
POSTGRES_DB=pumpkin_hub

# ── Meilisearch ────────────────────────────────────────────────────────────────
# Générer avec : openssl rand -hex 32
MEILISEARCH_KEY=CHANGEME_meilisearch_master_key

# ── JWT ────────────────────────────────────────────────────────────────────────
# Générer avec : openssl rand -hex 32
JWT_SECRET=CHANGEME_jwt_secret_at_least_32_chars

# ── OAuth — GitHub ─────────────────────────────────────────────────────────────
# Créer sur https://github.com/settings/applications/new
# Callback URL : ${API_PUBLIC_URL}/api/v1/auth/github/callback
GITHUB_CLIENT_ID=
GITHUB_CLIENT_SECRET=

# ── OAuth — Discord ────────────────────────────────────────────────────────────
# Créer sur https://discord.com/developers/applications
# Redirect URI : ${API_PUBLIC_URL}/api/v1/auth/discord/callback
DISCORD_CLIENT_ID=
DISCORD_CLIENT_SECRET=

# ── OAuth — Google (désactivé pour l'instant) ──────────────────────────────────
# Créer sur https://console.cloud.google.com/apis/credentials
# Redirect URI : ${API_PUBLIC_URL}/api/v1/auth/google/callback
# GOOGLE_CLIENT_ID=
# GOOGLE_CLIENT_SECRET=

# ── Cloudflare R2 ──────────────────────────────────────────────────────────────
# Tableau de bord R2 → Manage R2 API tokens
R2_ACCOUNT_ID=your_cloudflare_account_id
R2_ACCESS_KEY_ID=your_r2_access_key_id
R2_SECRET_ACCESS_KEY=your_r2_secret_access_key
R2_BUCKET=pumpkin-hub-binaries

# ── SMTP ───────────────────────────────────────────────────────────────────────
# Exemple avec Resend (https://resend.com)
SMTP_HOST=smtp.resend.com
SMTP_PORT=465
SMTP_USERNAME=resend
SMTP_PASSWORD=re_XXXXXXXXXXXX
# Domaine vérifié dans Resend (https://resend.com/domains)
SMTP_FROM_ADDRESS=noreply@pumpkinhub.org

# ── GitHub App (optionnel) ─────────────────────────────────────────────────────
GITHUB_APP_ID=
GITHUB_APP_PRIVATE_KEY=
GITHUB_APP_WEBHOOK_SECRET=