# Copie este arquivo para .env e preencha os valores.
# .env é ignorado pelo git — nunca commitar credenciais reais neste arquivo de exemplo.
#
# Em produção, popule essas variáveis via secret manager do orquestrador (Docker, K8s, etc.).

# ─── Core API ────────────────────────────────────────────────────────────────
# URL base da API REST consumida pelo BFF (server-side apenas).
NUXT_CORE_API_URL=https://sistema.modumfiscal.com.br

# ─── Keycloak (realm dedicado do portal público) ─────────────────────────────
NUXT_KEYCLOAK_URL=https://keycloakprod.modumfiscal.com.br
NUXT_KEYCLOAK_REALM=modumfiscal-portal-dev
NUXT_KEYCLOAK_CLIENT_ID=portal-modumfiscal-bff
# Client confidential — gere no Keycloak (Clients → Credentials → Client secret).
NUXT_KEYCLOAK_CLIENT_SECRET=SUBSTITUIR_PELO_VALOR_REAL_NO_ENV_LOCAL

# ─── Sessão (Token-handler pattern) ──────────────────────────────────────────
# Redis para armazenar tokens server-side e PKCE state.
NUXT_REDIS_URL=redis://localhost:6379
# Segredo para derivar o cookie de sessão (mín. 32 chars; rotacionar em incidente).
# Gere com: openssl rand -base64 32  OU  node -e "console.log(require('crypto').randomBytes(32).toString('base64'))"
NUXT_COOKIE_SECRET=GERE_LOCALMENTE_NUNCA_COMMITAR_SECRET_REAL
# TTL da sessão em segundos (default: 8h = 28800).
NUXT_SESSION_TTL_SECONDS=28800
# TTL do PKCE state em segundos (default: 5min = 300).
NUXT_PKCE_TTL_SECONDS=300