# ============================================================
# .htaccess para la carpeta app-api/
# ============================================================

Options -Indexes +FollowSymLinks
AddDefaultCharset UTF-8

# Archivo por defecto
DirectoryIndex index.php index.html

# ── Rewrite Engine — quita la extensión .php de las URLs ──────
RewriteEngine On

# Si el archivo existe con .php, sírvelo directamente
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.+)$ $1.php [L,QSA]

# ── CORS (solo si mod_headers está activo) ────────────────────
# PHP ya los pone en config.php, esto es respaldo para OPTIONS
<IfModule mod_headers.c>
    Header always set Access-Control-Allow-Origin "*"
    Header always set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
    Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

# Responder OPTIONS sin pasar a PHP
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule .* - [R=200,L]

# ── Bloquear archivos sensibles ───────────────────────────────
<FilesMatch "\.(log|sql|bak|env|ftpquota)$">
    Order allow,deny
    Deny from all
</FilesMatch>
