Fix: validar propiedad del docente al eliminar asignaciones

Anghel01 · Anghel01 · commit 64641468d2e2 · 2026-04-11T23:18:57.000-05:00
diff --git a/middlewares/protect.js b/middlewares/protect.js
@@ -301,4 +301,37 @@ module.exports.DocenteVicerrectorANDSecretaria = async (req, res, next) => {
   }
 
   return res.status(401).json({ message: "No autorizado, token no encontrado" });
-}
+}
+
+module.exports.validarPropietarioAsignacion = async (req, res, next) => {
+  let token;
+
+  if (req.headers.authorization && req.headers.authorization.startsWith("Bearer")) {
+    try {
+      token = req.headers.authorization.split(" ")[1];
+      const decoded = jwt.verify(token, process.env.JWT_SECRET);
+
+      const Asignacion = require("../models/asignacion.model");
+      const asignacion = await Asignacion.findByPk(req.params.id);
+
+      if (!asignacion) {
+        return res.status(404).json({ message: "Asignación no encontrada" });
+      }
+
+      if (decoded.subRol === "Administrador") {
+        return next();
+      }
+
+      if (asignacion.nroCedula_docente !== decoded.id) {
+        return res.status(403).json({ message: "No tienes permisos para modificar esta asignación" });
+      }
+
+      return next();
+    } catch (error) {
+      console.error("Error en validarPropietarioAsignacion:", error);
+      return res.status(401).json({ message: "Token inválido o expirado" });
+    }
+  }
+
+  return res.status(401).json({ message: "No autorizado, token no encontrado" });
+};
diff --git a/routes/asignacion.routes.js b/routes/asignacion.routes.js
@@ -1,10 +1,10 @@
 const AsignacionController = require('../controllers/asignacion.controller');
-const {Docente,DocenteANDReprsentante,docenteVicerrector,DocenteVicerrectorANDSecretaria,docenteAdministrador}=require('../middlewares/protect')
+const {Docente,DocenteANDReprsentante,docenteVicerrector,DocenteVicerrectorANDSecretaria,docenteAdministrador,validarPropietarioAsignacion}=require('../middlewares/protect')
 module.exports = (app) => {
     app.post('/api/asignacion/crear',Docente, AsignacionController.createAsignacion);
-    app.put('/api/asignacion/editar/:id',docenteAdministrador ,AsignacionController.updateAsignacion);
+    app.put('/api/asignacion/editar/:id',Docente, validarPropietarioAsignacion, AsignacionController.updateAsignacion);
     app.get('/api/asignacion/obtener/:id',DocenteANDReprsentante ,AsignacionController.getAsignacion);
-    app.delete('/api/asignacion/eliminar/:id',Docente ,AsignacionController.deleteAsignacion);
+    app.delete('/api/asignacion/eliminar/:id',Docente, validarPropietarioAsignacion, AsignacionController.deleteAsignacion);
     app.get('/api/asignacion/docente/:id_docente', DocenteANDReprsentante,AsignacionController.getAsignacionesPorDocente);
     app.get('/api/asignacion/nivel/:nivel/:periodo',docenteVicerrector,AsignacionController.getAsignacionesPorNivel)
     app.get('/api/asignacion/obtener/periodo/:periodo',DocenteVicerrectorANDSecretaria ,AsignacionController.getAsignaciones);
