# 📦 Estructura propuesta

```
/mesacontrol/
├─ db.php                 # Conexión PDO + sesión persistente (sin timeout)
├─ login.php              # Formulario de acceso de agentes
├─ dashboard.php          # Panel de estado (disponible/pausa/baño/comida/entrenamiento)
├─ api_login.php          # POST: autentica y marca "disponible"
├─ api_state.php          # POST: cambia estado del agente
├─ api_heartbeat.php      # POST: latido para evitar timeout y marcar last_seen
├─ api_logout.php         # POST/BEACON: marca logout y cierra sesión
└─ hard_logout.php        # GET: forzar salida manual (link)
```

---

# 🧱 SQL (tablas + evento opcional auto-logout por inactividad)

```sql
-- Tabla de estados de agente (simple y eficiente)
CREATE TABLE IF NOT EXISTS mesacontrol_agente_estado (
  id INT AUTO_INCREMENT PRIMARY KEY,
  login VARCHAR(64) NOT NULL,
  estado ENUM('logout','disponible','pausa','baño','comida','entrenamiento') NOT NULL DEFAULT 'logout',
  session_id VARCHAR(128) DEFAULT NULL,
  last_change DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP,
  last_seen   DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP,
  user_agent  VARCHAR(255) DEFAULT NULL,
  ip          VARCHAR(64)  DEFAULT NULL,
  is_active   TINYINT(1) NOT NULL DEFAULT 0,
  UNIQUE KEY uk_login (login),
  KEY idx_seen (last_seen)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

-- (Opcional) Evento MySQL para dar logout si no hay heartbeat > 2 min
-- Requiere: SET GLOBAL event_scheduler = ON;
DROP EVENT IF EXISTS ev_mesacontrol_autologout;
CREATE EVENT ev_mesacontrol_autologout
ON SCHEDULE EVERY 1 MINUTE
DO
  UPDATE mesacontrol_agente_estado
     SET estado='logout', is_active=0
   WHERE is_active=1
     AND TIMESTAMPDIFF(SECOND, last_seen, NOW()) > 120;  -- 2 minutos sin latido
```

> Nota: Si prefieres manejar la caducidad desde PHP (sin EVENT), puedes ejecutar el UPDATE anterior en cualquier endpoint sensible (por ejemplo en `api_heartbeat.php` o `dashboard.php` al cargar).

---

# 🔧 db.php

```php
<?php
// db.php - Conexión PDO + sesión persistente (cookie larga) sin timeout

define('DB_HOST', 'vento-credit.com');
define('DB_NAME', 'ventocredit_dbmain');
define('DB_USER', 'ventocredit_vadmin');
define('DB_PASS', 'Vent0Pass#word');

// 1) Sesión con vida larga (30 días) y sin gc mientras haya heartbeat
$lifetime = 60 * 60 * 24 * 30; // 30 días
ini_set('session.gc_maxlifetime', $lifetime);
session_set_cookie_params([
  'lifetime' => $lifetime,
  'path' => '/',
  'secure' => false, // pon true si usas HTTPS
  'httponly' => true,
  'samesite' => 'Lax',
]);
if (session_status() !== PHP_SESSION_ACTIVE) {
  session_start();
}

function pdo(): PDO {
  static $pdo = null;
  if ($pdo) return $pdo;
  $dsn = 'mysql:host='.DB_HOST.';dbname='.DB_NAME.';charset=utf8mb4';
  $pdo = new PDO($dsn, DB_USER, DB_PASS, [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES => false,
  ]);
  return $pdo;
}

function agent_require_login() {
  if (empty($_SESSION['agent_login'])) {
    header('Location: login.php');
    exit;
  }
}

function sanitize_state(string $s): string {
  $allowed = ['logout','disponible','pausa','baño','comida','entrenamiento'];
  return in_array($s, $allowed, true) ? $s : 'logout';
}

function agent_upsert_state(string $login, string $estado, bool $active, ?string $sessionId=null) {
  $pdo = pdo();
  $estado = sanitize_state($estado);
  $sql = "INSERT INTO mesacontrol_agente_estado (login, estado, is_active, session_id, last_change, last_seen, user_agent, ip)
          VALUES (:login, :estado, :active, :sid, NOW(), NOW(), :ua, :ip)
          ON DUPLICATE KEY UPDATE
            estado=VALUES(estado),
            is_active=VALUES(is_active),
            session_id=VALUES(session_id),
            last_change=NOW(),
            last_seen=NOW(),
            user_agent=VALUES(user_agent),
            ip=VALUES(ip)";
  $stmt = $pdo->prepare($sql);
  $stmt->execute([
    ':login' => $login,
    ':estado' => $estado,
    ':active' => $active ? 1 : 0,
    ':sid' => $sessionId,
    ':ua' => $_SERVER['HTTP_USER_AGENT'] ?? null,
    ':ip' => $_SERVER['REMOTE_ADDR'] ?? null,
  ]);
}

function agent_touch_seen(string $login) {
  $pdo = pdo();
  $stmt = $pdo->prepare("UPDATE mesacontrol_agente_estado SET last_seen=NOW() WHERE login=?");
  $stmt->execute([$login]);
}
```

---

# 🔐 login.php

```php
<?php require __DIR__.'/db.php';
// Si ya está logueado, ir directo al dashboard
if (!empty($_SESSION['agent_login'])) {
  header('Location: dashboard.php');
  exit;
}
?>
<!doctype html>
<html lang="es">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Login Mesa de Control</title>
<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Lato:wght@400;700&display=swap" rel="stylesheet">
<style>
  body{font-family:'Lato',Arial,sans-serif;background:#f6f7f8;margin:0;padding:0}
  .card{max-width:420px;margin:8vh auto;background:#fff;border:1px solid #e6e7ea;border-radius:10px;padding:24px}
  h2{margin:0 0 16px 0}
  label{display:block;margin-bottom:6px;color:#444}
  input{width:100%;padding:10px;border:1px solid #ccd0d5;border-radius:8px}
  button{width:100%;margin-top:14px;padding:12px;border:0;border-radius:8px;background:#007bff;color:#fff;font-weight:700}
  button:hover{background:#0466d1;cursor:pointer}
  .err{background:#fde2e1;color:#7a1813;border:1px solid #f3b1ac;padding:10px;border-radius:8px;margin-bottom:10px}
</style>
</head>
<body>
  <div class="card">
    <h2>Acceso Agentes</h2>
    <form method="post" action="api_login.php" autocomplete="off">
      <label for="login">Usuario</label>
      <input type="text" name="login" id="login" required>
      <label for="pswd" style="margin-top:10px">Contraseña</label>
      <input type="password" name="pswd" id="pswd" required>
      <button type="submit">Entrar</button>
    </form>
  </div>
</body>
</html>
```

---

# 🚪 api_login.php

```php
<?php
require __DIR__.'/db.php';
header('Content-Type: application/json; charset=utf-8');

$login = trim($_POST['login'] ?? '');
$pswd  = trim($_POST['pswd']  ?? '');

if ($login === '' || $pswd === '') {
  http_response_code(400);
  echo json_encode(['ok'=>false,'msg'=>'Faltan credenciales']);
  exit;
}

try {
  $pdo = pdo();
  $stmt = $pdo->prepare("SELECT login, pswd, name FROM sec_users WHERE active='Y' AND login=? LIMIT 1");
  $stmt->execute([$login]);
  $u = $stmt->fetch();
  if (!$u) {
    http_response_code(401);
    echo json_encode(['ok'=>false,'msg'=>'Usuario no encontrado o inactivo']);
    exit;
  }
  // Si tu tabla guarda hash, reemplaza esta verificación por password_verify()
  if (!hash_equals((string)$u['pswd'], (string)$pswd)) {
    http_response_code(401);
    echo json_encode(['ok'=>false,'msg'=>'Contraseña incorrecta']);
    exit;
  }
  $_SESSION['agent_login'] = $u['login'];
  $_SESSION['agent_name']  = $u['name'] ?? $u['login'];
  // Estado: disponible y activo
  agent_upsert_state($u['login'], 'disponible', true, session_id());

  echo json_encode(['ok'=>true,'redirect'=>'dashboard.php']);
} catch (Throwable $e) {
  http_response_code(500);
  echo json_encode(['ok'=>false,'msg'=>'Error: '.$e->getMessage()]);
}
```

---

# 📊 dashboard.php

```php
<?php
require __DIR__.'/db.php';
agent_require_login();
$login = $_SESSION['agent_login'];
$pdo = pdo();
// (Opcional) barrido de inactivos para mantener limpio el tablero
$pdo->exec("UPDATE mesacontrol_agente_estado SET estado='logout', is_active=0 WHERE is_active=1 AND TIMESTAMPDIFF(SECOND,last_seen,NOW())>120");

$stmt = $pdo->prepare("SELECT estado, last_change, last_seen FROM mesacontrol_agente_estado WHERE login=?");
$stmt->execute([$login]);
$est = $stmt->fetch() ?: ['estado'=>'logout','last_change'=>null,'last_seen'=>null];
?>
<!doctype html>
<html lang="es">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Mesa de Control — Estado de Agente</title>
<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Lato:wght@400;700&display=swap" rel="stylesheet">
<style>
  body{font-family:'Lato',Arial,sans-serif;background:#f7f8fa;margin:0}
  .nav{display:flex;justify-content:space-between;align-items:center;padding:12px 16px;background:#101828;color:#fff}
  .wrap{max-width:980px;margin:18px auto;background:#fff;border:1px solid #e6e7ea;border-radius:12px;padding:18px}
  .grid{display:grid;grid-template-columns:repeat(auto-fit,minmax(140px,1fr));gap:12px}
  .btn{padding:12px;border:1px solid #d0d5dd;border-radius:10px;background:#f8fafc;font-weight:700;cursor:pointer}
  .btn:hover{background:#eef2f7}
  .badge{display:inline-block;padding:6px 10px;border-radius:999px;background:#eef4ff;color:#1b4fd1;font-weight:700}
  .danger{background:#fee4e2;color:#b42318}
  .meta{color:#667085;font-size:.9em}
</style>
</head>
<body>
  <div class="nav">
    <div><strong><?php echo htmlspecialchars($_SESSION['agent_name']); ?></strong> (<code><?php echo htmlspecialchars($login); ?></code>)</div>
    <div>
      <a href="hard_logout.php" class="btn" style="text-decoration:none;color:#101828;background:#ffece9;border-color:#ffc4b8">Salir</a>
    </div>
  </div>

  <div class="wrap">
    <h2>Mi estado actual: <span id="estado" class="badge"><?php echo htmlspecialchars($est['estado']); ?></span></h2>
    <p class="meta">Último cambio: <span id="last_change"><?php echo htmlspecialchars($est['last_change'] ?? '—'); ?></span> · Último latido: <span id="last_seen"><?php echo htmlspecialchars($est['last_seen'] ?? '—'); ?></span></p>

    <div class="grid" style="margin-top:12px">
      <button class="btn" data-s="disponible">Disponible</button>
      <button class="btn" data-s="pausa">Pausa</button>
      <button class="btn" data-s="baño">Baño</button>
      <button class="btn" data-s="comida">Comida</button>
      <button class="btn" data-s="entrenamiento">Entrenamiento</button>
      <button class="btn danger" id="logout">Logout</button>
    </div>

    <p class="meta" style="margin-top:16px">Esta página no caduca: mientras permanezca abierta se envía un <em>heartbeat</em> cada 20s. Si se cierra la pestaña/ventana o se cae el navegador, el sistema intenta marcar <strong>logout</strong> automáticamente; si no alcanza a enviar, el evento/guard de inactividad lo hará en ~2 minutos.</p>
  </div>

<script>
const $estado = document.getElementById('estado');
const $lastChange = document.getElementById('last_change');
const $lastSeen = document.getElementById('last_seen');

async function postJSON(url, data){
  const res = await fetch(url, {method:'POST', headers:{'Content-Type':'application/json'}, body: JSON.stringify(data)});
  if(!res.ok) throw new Error(await res.text());
  return res.json();
}

async function setEstado(estado){
  try{
    const r = await postJSON('api_state.php', {estado});
    $estado.textContent = r.estado;
    $lastChange.textContent = r.last_change;
    $lastSeen.textContent = r.last_seen;
  }catch(e){ console.error(e); }
}

async function heartbeat(){
  try{
    const r = await postJSON('api_heartbeat.php', {});
    $lastSeen.textContent = r.last_seen;
  }catch(e){ console.warn('HB error', e); }
}

// UI handlers
for (const btn of document.querySelectorAll('.btn[data-s]')){
  btn.addEventListener('click', ()=> setEstado(btn.dataset.s));
}

document.getElementById('logout').addEventListener('click', async ()=>{
  try { await postJSON('api_logout.php', {}); } catch {}
  location.href = 'login.php';
});

// Heartbeat cada 20 s
const hb = setInterval(heartbeat, 20000);
heartbeat(); // primer latido inmediato

// Intentar marcar logout al cerrar/ocultar
function sendBeaconLogout(){
  try {
    const data = new Blob([JSON.stringify({reason:'pagehide'})], {type:'application/json'});
    navigator.sendBeacon('api_logout.php', data);
  } catch { /* ignore */ }
}

window.addEventListener('pagehide', sendBeaconLogout);
window.addEventListener('beforeunload', sendBeaconLogout);
document.addEventListener('visibilitychange', ()=>{
  if (document.visibilityState === 'hidden') sendBeaconLogout();
});
</script>
</body>
</html>
```

---

# 🔁 api_state.php

```php
<?php
require __DIR__.'/db.php';
header('Content-Type: application/json; charset=utf-8');
agent_require_login();
$login = $_SESSION['agent_login'];

$raw = file_get_contents('php://input');
$in = json_decode($raw, true) ?: [];
$estado = sanitize_state((string)($in['estado'] ?? 'disponible'));

try {
  agent_upsert_state($login, $estado, $estado !== 'logout', session_id());
  $pdo = pdo();
  $stmt = $pdo->prepare("SELECT estado, last_change, last_seen FROM mesacontrol_agente_estado WHERE login=?");
  $stmt->execute([$login]);
  $row = $stmt->fetch();
  echo json_encode(['ok'=>true] + $row);
} catch (Throwable $e) {
  http_response_code(500);
  echo json_encode(['ok'=>false,'msg'=>$e->getMessage()]);
}
```

---

# ❤️ api_heartbeat.php

```php
<?php
require __DIR__.'/db.php';
header('Content-Type: application/json; charset=utf-8');
agent_require_login();
$login = $_SESSION['agent_login'];

try {
  agent_touch_seen($login);
  $pdo = pdo();
  $stmt = $pdo->prepare("SELECT last_seen FROM mesacontrol_agente_estado WHERE login=?");
  $stmt->execute([$login]);
  $row = $stmt->fetch();
  echo json_encode(['ok'=>true,'last_seen'=>$row['last_seen'] ?? date('Y-m-d H:i:s')]);
} catch (Throwable $e) {
  http_response_code(500);
  echo json_encode(['ok'=>false,'msg'=>$e->getMessage()]);
}
```

---

# 👋 api_logout.php

```php
<?php
require __DIR__.'/db.php';
header('Content-Type: application/json; charset=utf-8');
if (empty($_SESSION['agent_login'])) {
  // Permitir beacon anónimo: nada que hacer
  echo json_encode(['ok'=>true]);
  exit;
}
$login = $_SESSION['agent_login'];

try {
  agent_upsert_state($login, 'logout', false, null);
} catch (Throwable $e) {
  // continuar a destruir sesión de todos modos
}

// Cerrar sesión PHP limpiamente
$_SESSION = [];
if (ini_get('session.use_cookies')) {
  $params = session_get_cookie_params();
  setcookie(session_name(), '', time()-42000, $params['path'], $params['domain'] ?? '', $params['secure'], $params['httponly']);
}
session_destroy();

echo json_encode(['ok'=>true]);
```

---

# 🔓 hard_logout.php

```php
<?php
require __DIR__.'/db.php';
if (!empty($_SESSION['agent_login'])) {
  header('Location: api_logout.php');
  exit;
}
header('Location: login.php');
```

---

# 📝 Notas operativas

- **Sin timeout real en UI:** la sesión PHP se mantiene 30 días y se renueva con cada heartbeat (20s). Mientras el dashboard esté abierto, no expira.
- **Cierre inesperado:** se intenta `sendBeacon()` a `api_logout.php` en `pagehide/beforeunload/visibilitychange`. Si no sale (crash o corte de luz), el **evento MySQL** o el **barrido** del `dashboard.php` hará logout tras ~2 minutos sin `last_seen`.
- **Estados disponibles:** `disponible`, `pausa`, `baño`, `comida`, `entrenamiento` y `logout`.
- **Seguridad:** migra `sec_users.pswd` a `password_hash()` + `password_verify()` cuando gustes. Activa HTTPS para marcar `session.cookie_secure=true`.
- **Integración:** si ya cuentas con `vw_mesacontrol_agentes`, puedes cruzar `mesacontrol_agente_estado` por `login` para paneles de supervisión.