@monetize.software/sdk 3.0.0-alpha.2 → 3.0.0-alpha.21

package/dist/core.js

@@ -1,1902 +1,20 @@
-class r extends Error {
-  constructor(t, e, s = {}) {
-    super(e), this.name = "PaywallError", this.code = t, this.status = s.status, this.cause = s.cause;
-  }
-}
-class q extends r {
-  constructor(t) {
-    super("not_enough_queries", t.message ?? "Not enough queries", {
-      status: 402
-    }), this.name = "QuotaExceededError", this.balances = t.balances, this.queryType = t.queryType, this.currentBalance = t.currentBalance;
-  }
-}
-const m = "3.0.0-alpha.0";
-class O {
-  constructor(t) {
-    this.opts = t;
-  }
-  async request(t, e = {}) {
-    const s = new URL(t, this.opts.apiOrigin).toString(), i = this.opts.fetch ?? fetch, n = new Headers(e.headers);
-    n.set("Accept", "application/json"), n.set("X-SDK-Version", m), n.set("X-Paywall-Id", this.opts.paywallId), this.opts.capabilities?.length && n.set("X-SDK-Capabilities", this.opts.capabilities.join(","));
-    const o = await this.opts.getAuthToken?.();
-    o && n.set("Authorization", `Bearer ${o}`);
-    const u = typeof FormData < "u" && e.body instanceof FormData;
-    e.body && !n.has("Content-Type") && !u && n.set("Content-Type", "application/json");
-    let l;
-    try {
-      l = await i(s, {
-        ...e,
-        headers: n,
-        credentials: "omit"
-      });
-    } catch (c) {
-      throw (c && typeof c == "object" && "name" in c ? c.name : void 0) === "AbortError" ? new r("aborted", "Request aborted", { cause: c }) : new r("network_error", "Network request failed", { cause: c });
-    }
-    const f = (l.headers.get("content-type") ?? "").includes("application/json") ? await l.json().catch(() => null) : null;
-    if (!l.ok) {
-      const c = f && typeof f == "object" && "code" in f && String(f.code) || `http_${l.status}`, w = f && typeof f == "object" && "message" in f && String(f.message) || l.statusText || "Request failed";
-      throw new r(c, w, { status: l.status, cause: f });
-    }
-    return f;
-  }
-}
-const $ = "https://appbox.space";
-class K {
-  constructor(t) {
-    if (!t.paywallId)
-      throw new r("invalid_config", "paywallId is required");
-    this.paywallId = t.paywallId, this.apiOrigin = t.apiOrigin ?? $, this.auth = t.auth, this.userId = t.userId, this.capabilities = t.capabilities, this.customFetch = t.fetch, this.onChargeSuccess = t.onChargeSuccess, this.onQuotaExceeded = t.onQuotaExceeded, t.userId && !t.auth && typeof window < "u" && typeof window.document < "u" && console.warn(
-      "[paywall] WARNING: ApiGatewayClient.userId set without auth in browser. Client can spoof userId. Use AuthClient + Bearer for trusted user.id."
-    );
-  }
-  async call(t) {
-    const e = t.path ? t.path.replace(/^\/+/, "") : "", s = new URL(
-      `/api/v1/api-gateway/${encodeURIComponent(t.providerId)}${e ? `/${e}` : ""}`,
-      this.apiOrigin
-    );
-    s.searchParams.set("paywall_id", this.paywallId);
-    const i = new Headers(t.headers);
-    i.set("X-SDK-Version", m), i.set("X-Paywall-Id", this.paywallId), this.capabilities?.length && i.set("X-SDK-Capabilities", this.capabilities.join(","));
-    const n = await this.auth?.getAccessToken();
-    n ? i.set("Authorization", `Bearer ${n}`) : this.userId && i.set("X-User-ID", this.userId);
-    const o = typeof FormData < "u" && t.body instanceof FormData, u = typeof Blob < "u" && t.body instanceof Blob, l = typeof ReadableStream < "u" && t.body instanceof ReadableStream, d = typeof t.body == "string";
-    let h;
-    t.body === void 0 || t.body === null ? h = void 0 : o || u || l || d ? h = t.body : (h = JSON.stringify(t.body), i.has("Content-Type") || i.set("Content-Type", "application/json"));
-    const f = this.customFetch ?? fetch;
-    let c;
-    try {
-      c = await f(s.toString(), {
-        method: t.method ?? "POST",
-        headers: i,
-        body: h,
-        signal: t.signal,
-        credentials: "omit"
-      });
-    } catch (p) {
-      const R = p instanceof Error ? p.message : String(p);
-      throw new r("network_error", `Network request failed: ${R}`, { cause: p });
-    }
-    if (c.status === 402) {
-      const p = await F(c);
-      throw this.onQuotaExceeded?.(p), p;
-    }
-    if (!c.ok) {
-      const p = await N(c.clone());
-      throw new r(
-        p ?? `http_${c.status}`,
-        c.statusText || "Gateway request failed",
-        { status: c.status }
-      );
-    }
-    const w = c.headers.get("X-Query-Type") ?? void 0;
-    return this.onChargeSuccess?.(w), c;
-  }
-}
-async function F(a) {
-  let t = {};
-  try {
-    t = await a.json();
-  } catch {
-  }
-  const e = t.details?.balances;
-  let s = [];
-  if (Array.isArray(e)) {
-    const i = e[0];
-    Array.isArray(i) ? s = i : i && Array.isArray(i.balances) && (s = i.balances);
-  }
-  return new q({
-    balances: s,
-    queryType: t.details?.queryType ?? "",
-    currentBalance: t.details?.currentBalance ?? null
-  });
-}
-async function N(a) {
-  if (!(a.headers.get("content-type") ?? "").includes("application/json")) return null;
-  try {
-    const e = await a.json();
-    return e.code || e.error || null;
-  } catch {
-    return null;
-  }
-}
-function D() {
-  return typeof chrome < "u" && !!chrome?.storage?.local && !!chrome?.runtime?.id;
-}
-const M = {
-  getItem(a) {
-    return new Promise((t) => {
-      chrome.storage.local.get([a], (e) => {
-        const s = e[a];
-        t(typeof s == "string" ? s : null);
-      });
-    });
-  },
-  setItem(a, t) {
-    return new Promise((e) => {
-      chrome.storage.local.set({ [a]: t }, () => e());
-    });
-  },
-  removeItem(a) {
-    return new Promise((t) => {
-      chrome.storage.local.remove([a], () => t());
-    });
-  },
-  watch(a, t) {
-    const e = chrome?.storage?.onChanged;
-    if (!e) return () => {
-    };
-    const s = (i, n) => {
-      if (n !== "local") return;
-      const o = i[a];
-      o && t(typeof o.newValue == "string" ? o.newValue : null);
-    };
-    return e.addListener(s), () => e.removeListener(s);
-  }
-}, x = {
-  async getItem(a) {
-    try {
-      return window.localStorage.getItem(a);
-    } catch {
-      return null;
-    }
-  },
-  async setItem(a, t) {
-    try {
-      window.localStorage.setItem(a, t);
-    } catch {
-    }
-  },
-  async removeItem(a) {
-    try {
-      window.localStorage.removeItem(a);
-    } catch {
-    }
-  },
-  watch(a, t) {
-    if (typeof window > "u") return () => {
-    };
-    const e = (s) => {
-      s.storageArea === window.localStorage && s.key === a && t(s.newValue);
-    };
-    return window.addEventListener("storage", e), () => window.removeEventListener("storage", e);
-  }
-}, b = /* @__PURE__ */ new Map(), J = {
-  async getItem(a) {
-    return b.get(a) ?? null;
-  },
-  async setItem(a, t) {
-    b.set(a, t);
-  },
-  async removeItem(a) {
-    b.delete(a);
-  }
-};
-function C(a) {
-  return a || (D() ? M : typeof window < "u" && "localStorage" in window ? x : J);
-}
-const y = {
-  visitorId: "pw-visitor-id",
-  lastLoginMethod: (a) => `pw-${a}-last-login-method`,
-  lastLoginEmail: (a) => `pw-${a}-last-login-email`,
-  // last-known PaywallUser. Используется как offline-fallback на старте, пока
-  // первый getUser() не вернётся. Ключ зависит от paywallId+identity hash —
-  // переключение identity не должно отдавать чужой user.
-  userState: (a, t) => `pw-${a}-${t}-user-v1`,
-  // Persisted auth bundle (access_token, refresh_token, expires_at, user) для
-  // одного пейвола. Ключ привязан к paywallId — мульти-пейвольное приложение
-  // не пересекает сессии. Bump '-v1' на breaking shape change.
-  authSession: (a) => `pw-${a}-auth-v1`,
-  // Refresh-token последнего анонимного юзера. Хранится отдельно от authSession,
-  // потому что должен пережить signOut: после signOut() юзер может опять
-  // зайти как тот же аноним — без капчи, через этот токен. signIn другим
-  // методом (email/oauth) тоже его не трогает. Чистится только явным
-  // signOut({forgetAnonymous: true}) или 401 от refresh-эндпоинта (значит
-  // токен отозван, дальше держать бессмысленно).
-  anonRefreshToken: (a) => `pw-${a}-anon-rt-v1`,
-  // Persisted bootstrap (settings/prices/offers/layout/locales/version) для
-  // stale-while-revalidate. Не зависит от identity — layout одинаков для всех
-  // юзеров одного пейвола; user-state живёт отдельно под `userState(...)`.
-  // Bump '-v1' на breaking shape change.
-  bootstrap: (a) => `pw-${a}-bootstrap-v1`,
-  // Persisted balances (AI-провайдеры × tokenization_queries). Identity-bound,
-  // т.к. balance считается per-Bearer-юзеру; при re-login ключ меняется и
-  // чужие balances не видны. Меняются после оплаты (бэк) и API-вызовов
-  // (оптимистично через `decrementBalanceLocal`).
-  balances: (a, t) => `pw-${a}-${t}-balances-v1`
-};
-function E() {
-  const a = typeof globalThis < "u" ? globalThis.crypto : void 0;
-  if (a && typeof a.randomUUID == "function") return a.randomUUID();
-  const t = new Uint8Array(16);
-  if (a && typeof a.getRandomValues == "function")
-    a.getRandomValues(t);
-  else
-    for (let s = 0; s < 16; s++) t[s] = Math.floor(Math.random() * 256);
-  t[6] = t[6] & 15 | 64, t[8] = t[8] & 63 | 128;
-  const e = Array.from(t, (s) => s.toString(16).padStart(2, "0")).join("");
-  return `${e.slice(0, 8)}-${e.slice(8, 12)}-${e.slice(12, 16)}-${e.slice(16, 20)}-${e.slice(20)}`;
-}
-async function S(a) {
-  try {
-    const e = await a.getItem(y.visitorId);
-    if (e && typeof e == "string" && e.length >= 16) return e;
-  } catch {
-  }
-  const t = E();
-  try {
-    await a.setItem(y.visitorId, t);
-  } catch {
-  }
-  return t;
-}
-const H = 5e3, V = 30 * 6e4, I = 60 * 6e4, j = 5 * 6e4, B = {
-  has_active_subscription: !1,
-  purchases: [],
-  trial: null
-};
-function _(a) {
-  return a && (a.email || a.userId || a.anonymousId) || "guest";
-}
-function X(a, t) {
-  return a === t ? !0 : !a || !t ? !1 : JSON.stringify(a) === JSON.stringify(t);
-}
-const z = 5e3, A = 5 * 6e4, G = 3e4;
-function Q(a, t) {
-  if (a === t) return !0;
-  if (!a || !t || a.length !== t.length) return !1;
-  for (let e = 0; e < a.length; e++)
-    if (a[e].type !== t[e].type || a[e].count !== t[e].count) return !1;
-  return !0;
-}
-const W = "https://appbox.space";
-class ut {
-  constructor(t) {
-    if (this.cachedBootstrap = null, this.cachedBootstrapAt = 0, this.inflightBootstrap = null, this.bootstrapListeners = /* @__PURE__ */ new Set(), this.bootstrapStorageUnwatch = null, this.authUnsubscribe = null, this.cachedUser = null, this.cachedUserAt = 0, this.inflightUser = null, this.userListeners = /* @__PURE__ */ new Set(), this.visitorIdPromise = null, this.visitorId = null, this.inflightCheckouts = /* @__PURE__ */ new Map(), this.cachedBalances = null, this.cachedBalancesAt = 0, this.balancesStorageUnwatch = null, this.inflightBalances = null, this.balanceListeners = /* @__PURE__ */ new Set(), this.previewVersionCounter = 0, !t.paywallId)
-      throw new r("invalid_config", "paywallId is required");
-    this.paywallId = t.paywallId, this.apiOrigin = t.apiOrigin ?? W, this.capabilities = t.capabilities, this.auth = t.auth, this.previewMode = t.preview === !0;
-    const e = t.auth?.getCachedUser();
-    this.identity = t.identity ?? (e ? T(e) : void 0), this.apiKey = t.apiKey, this.fetchImpl = t.fetch, t.apiKey && typeof window < "u" && typeof window.document < "u" && console.error(
-      "[paywall] SECURITY: BillingClient.apiKey detected in browser context. This is a server-SDK key and exposes your account. Remove apiKey or move BillingClient to a trusted backend."
-    ), this.storage = C(t.storage), this.api = new O({
-      apiOrigin: this.apiOrigin,
-      paywallId: t.paywallId,
-      capabilities: t.capabilities,
-      fetch: t.fetch,
-      // Bearer прокидывается каждый запрос. AuthClient.getAccessToken
-      // делает lazy refresh, дедупит, на 401 возвращает null — тогда
-      // Authorization-хедер просто не выставится.
-      getAuthToken: t.auth ? () => t.auth.getAccessToken() : void 0
-    }), t.auth && (this.authUnsubscribe = t.auth.onAuthChange((s) => {
-      const i = s ? T(s.user) : void 0;
-      Y(this.identity, i) || this.setIdentity(i);
-    })), this.hydrateUserFromStorage(), this.hydrateBootstrapFromStorage(), this.subscribeBootstrapStorage(), this.hydrateBalancesFromStorage(), this.subscribeBalancesStorage(), this.visitorIdPromise = S(this.storage).then((s) => (this.visitorId = s, s));
-  }
-  /**
-   * Stable visitor_id (UUID v4). Первый вызов awaitит первичный резолв из
-   * storage; последующие — мгновенно из in-memory кеша. Используется
-   * EventTracker'ом для атрибуции аналитики.
-   */
-  async getVisitorId() {
-    return this.visitorId ? this.visitorId : (this.visitorIdPromise || (this.visitorIdPromise = S(this.storage).then((t) => (this.visitorId = t, t))), this.visitorIdPromise);
-  }
-  /** Sync-доступ к visitor_id. null если ещё не зарезолвили (первые ms жизни). */
-  getCachedVisitorId() {
-    return this.visitorId;
-  }
-  setIdentity(t) {
-    this.identity = t, this.cachedUser = null, this.cachedUserAt = 0, this.inflightUser = null, this.cachedBalances = null, this.cachedBalancesAt = 0, this.inflightBalances = null, this.balancesStorageUnwatch && (this.balancesStorageUnwatch(), this.balancesStorageUnwatch = null), this.hydrateBalancesFromStorage(), this.subscribeBalancesStorage(), this.hydrateUserFromStorage(), t && this.getUser({ force: !0 }).catch(() => {
-    });
-  }
-  /**
-   * Отписаться от auth-event'ов и сбросить listener'ы. Вызывать когда
-   * BillingClient больше не нужен (тесты, hot-reload, переинициализация).
-   * Без destroy() listener на AuthClient переживёт BillingClient и будет
-   * дёргать setIdentity на освобождённом инстансе. Слушатели user/balance
-   * чистятся, чтобы упавший host (например, размонтированный React-tree)
-   * не держал замыкания на эти колбеки.
-   */
-  destroy() {
-    this.authUnsubscribe && (this.authUnsubscribe(), this.authUnsubscribe = null), this.bootstrapStorageUnwatch && (this.bootstrapStorageUnwatch(), this.bootstrapStorageUnwatch = null), this.balancesStorageUnwatch && (this.balancesStorageUnwatch(), this.balancesStorageUnwatch = null), this.userListeners.clear(), this.balanceListeners.clear(), this.bootstrapListeners.clear();
-  }
-  getIdentity() {
-    return this.identity;
-  }
-  getStorage() {
-    return this.storage;
-  }
-  async bootstrap(t = !1) {
-    const e = typeof t == "boolean" ? { force: t } : t;
-    if (this.previewMode) {
-      if (this.cachedBootstrap) return this.cachedBootstrap;
-      throw new r(
-        "invalid_config",
-        "BillingClient in preview mode but cachedBootstrap is not seeded. Call setBootstrap(bootstrap) before open()."
-      );
-    }
-    const s = Date.now(), i = this.cachedBootstrap && this.cachedBootstrapAt > 0 && s - this.cachedBootstrapAt < I;
-    return !e.force && i ? (s - this.cachedBootstrapAt > j && this.revalidateBootstrap(e.signal).catch(() => {
-    }), this.cachedBootstrap) : this.inflightBootstrap ? this.inflightBootstrap : (this.inflightBootstrap = this.fetchBootstrap({
-      ifVersion: e.force ? void 0 : this.cachedBootstrap?.version,
-      signal: e.signal
-    }).finally(() => {
-      this.inflightBootstrap = null;
-    }), this.inflightBootstrap);
-  }
-  /**
-   * Подписка на изменения bootstrap'а: applyBootstrap (сетевой revalidate,
-   * cross-context storage.watch). Срабатывает ТОЛЬКО при реальном изменении
-   * `version` (unchanged-ответ от сервера не дёргает listener'ов). Возвращает
-   * unsubscribe.
-   */
-  onBootstrapChange(t) {
-    return this.bootstrapListeners.add(t), () => {
-      this.bootstrapListeners.delete(t);
-    };
-  }
-  /**
-   * Заменить cachedBootstrap частичными или полными данными и эмитнуть всем
-   * подписчикам. Используется host'ом в preview-mode (редактор админки) для
-   * live-обновления открытой модалки без сетевого revalidate'а.
-   *
-   * Поведение:
-   *  - Без `cachedBootstrap` ожидаются как минимум `settings` + `prices` —
-   *    иначе PaywallRoot не сможет отрендерить тарифы и упадёт.
-   *  - С существующим кешем партиал мёрджится поверх: `settings` глубокий мёрдж
-   *    на 1 уровень (поля настроек), массивы `prices`/`offers` перезаписываются.
-   *  - Каждый вызов бампит `version` ("preview:<n>"), чтобы applyBootstrap'овая
-   *    проверка `versionChanged` всегда срабатывала и listener'ы дёргались.
-   *  - Persist в storage НЕ делаем — preview не должен утекать в другие вкладки.
-   *
-   * В non-preview режиме метод доступен, но это редкий путь (например, для
-   * тестов host'а) — production-код должен полагаться на bootstrap() + revalidate.
-   */
-  setBootstrap(t) {
-    const e = this.cachedBootstrap ?? {
-      settings: { id: this.paywallId, name: "" },
-      prices: [],
-      offers: []
-    }, s = {
-      ...e,
-      ...t,
-      settings: t.settings !== void 0 ? { ...e.settings, ...t.settings } : e.settings,
-      prices: t.prices !== void 0 ? t.prices : e.prices,
-      offers: t.offers !== void 0 ? t.offers : e.offers,
-      version: `preview:${++this.previewVersionCounter}`
-    };
-    s.layout || (s.layout = U(s.settings, s.prices)), g(s), this.cachedBootstrap = s, this.cachedBootstrapAt = Date.now();
-    for (const i of this.bootstrapListeners)
-      try {
-        i(s);
-      } catch (n) {
-        console.warn("[paywall] onBootstrapChange listener threw", n);
-      }
-  }
-  // Network primitive — единая точка для force-запроса, revalidate'а и
-  // первого холодного bootstrap'а. `ifVersion` шлёт server-side short-circuit:
-  // если совпала — бэк отвечает `{unchanged: true, version, user}` и мы лишь
-  // обновляем cached user, structure (layout/prices/offers/locales) не трогаем.
-  async fetchBootstrap(t) {
-    const e = {};
-    this.identity?.email && (e["X-User-Email"] = this.identity.email);
-    const s = t.ifVersion ? `/api/v1/paywall/${this.paywallId}/bootstrap?if_version=${encodeURIComponent(t.ifVersion)}` : `/api/v1/paywall/${this.paywallId}/bootstrap`, i = await this.api.request(s, {
-      ...Object.keys(e).length ? { headers: e } : {},
-      signal: t.signal
-    });
-    if ("unchanged" in i && i.unchanged)
-      return this.cachedBootstrap ? (this.cachedBootstrapAt = Date.now(), i.user && this.applyUser(i.user), this.cachedBootstrap) : this.fetchBootstrap({ signal: t.signal });
-    const n = i;
-    return n.layout || (n.layout = U(n.settings, n.prices)), g(n), this.applyBootstrap(n, { persist: !0 }), n.user && this.applyUser(n.user), n;
-  }
-  // Фоновый revalidate из stale-while-revalidate ветки. Дедуплицируется через
-  // `inflightBootstrap`, чтобы параллельные revalidate'ы не пересекались.
-  revalidateBootstrap(t) {
-    return this.inflightBootstrap ? this.inflightBootstrap : (this.inflightBootstrap = this.fetchBootstrap({
-      ifVersion: this.cachedBootstrap?.version,
-      signal: t
-    }).finally(() => {
-      this.inflightBootstrap = null;
-    }), this.inflightBootstrap);
-  }
-  // Применяет fresh bootstrap к state: emit listeners ТОЛЬКО при изменении
-  // version (т.е. structure реально другая). Это нужно, чтобы повторный
-  // applyBootstrap из storage.watch не перерисовал UI зря, если другая
-  // вкладка нашла тот же version. persist=false для пути «получили из
-  // storage» — там кто-то другой уже записал.
-  applyBootstrap(t, { persist: e }) {
-    const s = !this.cachedBootstrap || this.cachedBootstrap.version !== t.version;
-    if (this.cachedBootstrap = t, this.cachedBootstrapAt = Date.now(), e && this.persistBootstrap(t), s)
-      for (const i of this.bootstrapListeners)
-        try {
-          i(t);
-        } catch (n) {
-          console.warn("[paywall] onBootstrapChange listener threw", n);
-        }
-  }
-  async hydrateBootstrapFromStorage() {
-    if (!this.cachedBootstrap)
-      try {
-        const t = await this.storage.getItem(y.bootstrap(this.paywallId));
-        if (!t) return;
-        const e = JSON.parse(t);
-        if (!e?.bootstrap || Date.now() - e.at > I || this.cachedBootstrap) return;
-        g(e.bootstrap), this.cachedBootstrap = e.bootstrap, this.cachedBootstrapAt = e.at;
-        for (const s of this.bootstrapListeners)
-          try {
-            s(e.bootstrap);
-          } catch (i) {
-            console.warn("[paywall] onBootstrapChange listener threw", i);
-          }
-      } catch {
-      }
-  }
-  async persistBootstrap(t) {
-    if (t.version)
-      try {
-        const { user: e, ...s } = t;
-        await this.storage.setItem(
-          y.bootstrap(this.paywallId),
-          JSON.stringify({ at: Date.now(), bootstrap: s })
-        );
-      } catch {
-      }
-  }
-  // Cross-context sync: другая вкладка / popup / sw записали свежий bootstrap
-  // → мы подхватываем без сетевого запроса. Адаптеры без watch (memory) —
-  // no-op, всё работает как раньше через сеть.
-  subscribeBootstrapStorage() {
-    typeof this.storage.watch == "function" && (this.bootstrapStorageUnwatch = this.storage.watch(
-      y.bootstrap(this.paywallId),
-      (t) => {
-        if (t)
-          try {
-            const e = JSON.parse(t);
-            if (!e?.bootstrap) return;
-            if (this.cachedBootstrap?.version && this.cachedBootstrap.version === e.bootstrap.version) {
-              this.cachedBootstrapAt = e.at;
-              return;
-            }
-            g(e.bootstrap), this.applyBootstrap(e.bootstrap, { persist: !1 });
-          } catch {
-          }
-      }
-    ));
-  }
-  /** Возвращает последний загруженный bootstrap без сетевого запроса.
-   *  null = bootstrap ещё не загружали. Удобно для post-checkout-логики
-   *  (PaywallUI читает success_redirect_url, не делая второго round-trip'а). */
-  getCachedBootstrap() {
-    return this.cachedBootstrap;
-  }
-  /**
-   * Шорткат поверх `bootstrap()`: ждёт загрузку структуры пейвола и возвращает
-   * цены. Полезно когда host рисует цены вне модалки (карточки на лендинге,
-   * "Pricing" page и т.п.) и не хочет руками распаковывать bootstrap.
-   *
-   * Locale-оверрайды (`label`/`description` под `navigator.language`) уже
-   * применены — массив готов к рендеру. Кэш/TTL/stale-while-revalidate — те
-   * же, что у `bootstrap()`: повторный вызов не штурмует сервер.
-   */
-  async getPrices(t = {}) {
-    return (await this.bootstrap(t)).prices;
-  }
-  /** Sync-снимок цен из последнего bootstrap'а. null = ещё не загружали. */
-  getCachedPrices() {
-    return this.cachedBootstrap?.prices ?? null;
-  }
-  /**
-   * Снимок того, какой язык SDK сейчас считает «языком юзера». Полезно для
-   * синхронизации i18n хоста с тем, что фактически показывает пейвол — чтобы
-   * окружающий UI не противоречил модалке (например, host рисует кнопку
-   * "Subscribe" на английском, а пейвол показывает «Подписаться» на русском).
-   *
-   * Возвращает структуру, а не один тэг, чтобы интегратор мог:
-   *  - быстро взять `tag` для своих переводов;
-   *  - отличить «пейвол реально на этом языке» (`applied !== null`) от
-   *    «SDK угадал, но локали для этого языка нет — рендерится база»;
-   *  - решить, чему доверять при противоречии browserLanguage vs countryLanguage
-   *    (тур, expat, VPN — у каждого свой ответ).
-   *
-   * Sync-вызов: данные уже в bootstrap'е, отдельных запросов не делает.
-   * Если `bootstrap()` ещё не вызывался — `applied` и `countryLanguage`
-   * будут `null`, но `browserLanguage` и `tag` всё равно отдадутся, если
-   * есть `navigator.language`.
-   */
-  getUserLanguage() {
-    const t = typeof navigator < "u" && navigator.language ? navigator.language : null, e = this.cachedBootstrap?.settings.locale_default ?? null, s = this.cachedBootstrap ? L(this.cachedBootstrap) : null;
-    return { tag: s ?? t ?? e, applied: s, browserLanguage: t, countryLanguage: e };
-  }
-  /**
-   * Получить актуальное состояние подписки/покупок.
-   *
-   * - In-memory cache TTL 5с — naïve setInterval(1000) не нагружает сервер.
-   * - In-flight dedupe — параллельные вызовы получают один promise.
-   * - `force: true` обходит кеш (для post-checkout проверки).
-   * - Без identity возвращает empty-state (сервер тоже так делает).
-   */
-  async getUser({ force: t = !1, signal: e } = {}) {
-    return !t && this.cachedUser && Date.now() - this.cachedUserAt < H ? this.cachedUser : this.inflightUser ? this.inflightUser : (this.inflightUser = (async () => {
-      try {
-        if (!this.identity?.email)
-          return this.applyUser(B), B;
-        const s = await this.api.request(
-          `/api/v1/paywall/${this.paywallId}/user-state`,
-          { headers: { "X-User-Email": this.identity.email }, signal: e }
-        );
-        return this.applyUser(s), s;
-      } finally {
-        this.inflightUser = null;
-      }
-    })(), this.inflightUser);
-  }
-  /**
-   * Подписка на изменения user-state. Колбек вызывается:
-   * - сразу с last-known user (если есть в кеше) — по умолчанию через
-   *   microtask, опционально SYNC (см. опции);
-   * - на каждое реальное изменение (getUser/bootstrap принёс другой shape).
-   *
-   * `opts.immediate`:
-   *   - `'microtask'` (default) — initial snapshot отдаётся в queueMicrotask,
-   *     чтобы host успел доресетнуть state в том же тике. Безопасный выбор
-   *     для большинства интеграций.
-   *   - `'sync'` — initial snapshot отдаётся прямо в текущем frame'е, до
-   *     возврата из onUserChange. Удобно для React/Vue useEffect-cleanup'а
-   *     (избегаем лишнего ре-рендера) и SSR (мгновенная синхронизация).
-   *   - `'none'` — не отдавать initial snapshot, только реальные изменения.
-   *
-   * Возвращает функцию отписки.
-   */
-  onUserChange(t, e = {}) {
-    this.userListeners.add(t);
-    const s = e.immediate ?? "microtask";
-    if (this.cachedUser && s !== "none") {
-      const i = this.cachedUser;
-      if (s === "sync")
-        try {
-          t(i);
-        } catch (n) {
-          console.warn("[paywall] onUserChange initial sync threw", n);
-        }
-      else
-        queueMicrotask(() => {
-          this.userListeners.has(t) && t(i);
-        });
-    }
-    return () => {
-      this.userListeners.delete(t);
-    };
-  }
-  /** Текущий cached user без сетевого запроса. null = ещё не загружали. */
-  getCachedUser() {
-    return this.cachedUser;
-  }
-  applyUser(t) {
-    const e = !X(this.cachedUser, t);
-    if (this.cachedUser = t, this.cachedUserAt = Date.now(), e) {
-      this.persistUser(t);
-      for (const s of this.userListeners)
-        try {
-          s(t);
-        } catch (i) {
-          console.warn("[paywall] onUserChange listener threw", i);
-        }
-    }
-  }
-  storageKey() {
-    return y.userState(this.paywallId, _(this.identity));
-  }
-  async hydrateUserFromStorage() {
-    if (!this.cachedUser)
-      try {
-        const t = await this.storage.getItem(this.storageKey());
-        if (!t) return;
-        const e = JSON.parse(t);
-        if (!e?.user || Date.now() - e.at > V || this.cachedUser) return;
-        this.applyUser(e.user);
-      } catch {
-      }
-  }
-  async persistUser(t) {
-    try {
-      await this.storage.setItem(
-        this.storageKey(),
-        JSON.stringify({ at: Date.now(), user: t })
-      );
-    } catch {
-    }
-  }
-  /**
-   * Балансы AI-провайдеров (`paywall_balances` × `tokenization_queries`).
-   *
-   * - In-memory cache TTL 5с — параллельные UI-renders не дёргают сеть;
-   * - In-flight dedupe — параллельные `getBalances` получают один promise;
-   * - `force: true` обходит кеш (типичный кейс — после QuotaExceededError);
-   * - Без auth (Bearer не выдан) возвращает пустой массив без сетевого
-   *   запроса: бэк всё равно ответит 401, нет смысла тратить round-trip.
-   *
-   * Если у пейвола `tokenization=false` — бэк отдаёт `[]`, как для гостя.
-   * SDK не различает «нет квоты» и «нет квот вообще» — caller сам решает
-   * по `currentBalance` в QuotaExceededError или `balances.length`.
-   */
-  async getBalances({ force: t = !1, signal: e } = {}) {
-    const s = Date.now(), i = this.cachedBalances ? s - this.cachedBalancesAt : 1 / 0;
-    return !t && this.cachedBalances && (i < z || i < G) ? this.cachedBalances : !t && this.cachedBalances && i < A ? (this.fetchBalances({ signal: e }).catch(() => {
-    }), this.cachedBalances) : this.inflightBalances ? this.inflightBalances : this.fetchBalances({ signal: e });
-  }
-  // Network primitive — единая точка для force/stale-revalidate/cold-start.
-  // Дедуплицируется через `inflightBalances`.
-  fetchBalances({ signal: t } = {}) {
-    return this.inflightBalances ? this.inflightBalances : (this.inflightBalances = (async () => {
-      try {
-        if (!this.auth)
-          return this.applyBalances([]), [];
-        const e = await this.api.request(`/api/v1/paywall/${this.paywallId}/balances`, { signal: t }), s = Array.isArray(e.balances) ? e.balances : [];
-        return this.applyBalances(s), s;
-      } finally {
-        this.inflightBalances = null;
-      }
-    })(), this.inflightBalances);
-  }
-  /** Sync snapshot. null = ещё не загружали (или explicit clear на re-login). */
-  getCachedBalances() {
-    return this.cachedBalances;
-  }
-  /**
-   * Подписка на изменения балансов: getBalances/decrementBalanceLocal/setIdentity.
-   * `opts.immediate` работает так же, как в `onUserChange`: 'microtask'
-   * (default), 'sync' (для React/Vue useEffect), 'none' (только изменения).
-   * Возвращает unsubscribe.
-   */
-  onBalanceChange(t, e = {}) {
-    this.balanceListeners.add(t);
-    const s = e.immediate ?? "microtask";
-    if (this.cachedBalances && s !== "none") {
-      const i = this.cachedBalances;
-      if (s === "sync")
-        try {
-          t(i);
-        } catch (n) {
-          console.warn("[paywall] onBalanceChange initial sync threw", n);
-        }
-      else
-        queueMicrotask(() => {
-          this.balanceListeners.has(t) && t(i);
-        });
-    }
-    return () => {
-      this.balanceListeners.delete(t);
-    };
-  }
-  /**
-   * Оптимистично уменьшает count для `queryType` на 1 и нотифицирует
-   * listener'ов. Используется ApiGatewayClient'ом сразу после успешного
-   * gateway-вызова (бэк уже снял кредит, см. `chargeApiQueries`).
-   *
-   * Если queryType отсутствует в кеше или count<=0 — no-op (не уходим в
-   * отрицательные значения, бэк всё равно правильный source-of-truth).
-   * Если кеша нет вовсе — тоже no-op: явный getBalances({force:true}) на
-   * следующем рендере подтянет актуальный shape.
-   *
-   * queryType может быть undefined (gateway не прислал X-Query-Type) —
-   * в этом случае декремент не делаем, но просим refreshBalances() для
-   * выравнивания.
-   */
-  decrementBalanceLocal(t) {
-    if (!t) {
-      this.getBalances({ force: !0 });
-      return;
-    }
-    if (!this.cachedBalances) return;
-    const e = this.cachedBalances.findIndex((n) => n.type === t);
-    if (e < 0 || this.cachedBalances[e].count <= 0) return;
-    const i = this.cachedBalances.map(
-      (n, o) => o === e ? { ...n, count: n.count - 1 } : n
-    );
-    this.applyBalances(i);
-  }
-  /** Принудительный re-fetch — типичный вызов после QuotaExceededError, чтобы
-   *  UI получил актуальный balance=0 и нарисовал upgrade-prompt. */
-  refreshBalances() {
-    return this.getBalances({ force: !0 });
-  }
-  /**
-   * Фабрика ApiGatewayClient'а с подключённым к этому billing'у balance-стейтом:
-   *  - Bearer/identity берутся из текущего auth/identity;
-   *  - на success декрементим cachedBalances оптимистично;
-   *  - на 402 (QuotaExceededError) триггерим refreshBalances() для актуального snapshot'а.
-   *
-   * Если переопределить опции через `overrides` — принимаются как есть, но
-   * `onChargeSuccess`/`onQuotaExceeded` всё равно вызываются (composable, host
-   * может добавить свой колбек поверх).
-   */
-  createApiGatewayClient(t = {}) {
-    const e = t.onChargeSuccess, s = t.onQuotaExceeded;
-    return new K({
-      paywallId: this.paywallId,
-      apiOrigin: this.apiOrigin,
-      auth: this.auth,
-      userId: this.auth ? void 0 : this.identity?.userId,
-      capabilities: this.capabilities,
-      fetch: this.fetchImpl,
-      ...t,
-      onChargeSuccess: (i) => {
-        this.decrementBalanceLocal(i), e?.(i);
-      },
-      onQuotaExceeded: (i) => {
-        this.refreshBalances(), s?.(i);
-      }
-    });
-  }
-  applyBalances(t, { persist: e = !0 } = {}) {
-    const s = !Q(this.cachedBalances, t);
-    if (this.cachedBalances = t, this.cachedBalancesAt = Date.now(), e && this.persistBalances(t), s)
-      for (const i of this.balanceListeners)
-        try {
-          i(t);
-        } catch (n) {
-          console.warn("[paywall] onBalanceChange listener threw", n);
-        }
-  }
-  balancesStorageKey() {
-    return y.balances(this.paywallId, _(this.identity));
-  }
-  async hydrateBalancesFromStorage() {
-    if (!this.cachedBalances)
-      try {
-        const t = await this.storage.getItem(this.balancesStorageKey());
-        if (!t) return;
-        const e = JSON.parse(t);
-        if (!e?.balances || !Array.isArray(e.balances) || Date.now() - e.at > A || this.cachedBalances) return;
-        this.cachedBalances = e.balances, this.cachedBalancesAt = e.at;
-        for (const s of this.balanceListeners)
-          try {
-            s(e.balances);
-          } catch (i) {
-            console.warn("[paywall] onBalanceChange listener threw", i);
-          }
-      } catch {
-      }
-  }
-  async persistBalances(t) {
-    try {
-      await this.storage.setItem(
-        this.balancesStorageKey(),
-        JSON.stringify({ at: Date.now(), balances: t })
-      );
-    } catch {
-    }
-  }
-  // Cross-context sync: другая вкладка / popup / SW обновили balances
-  // (свежий getBalances или оптимистичный decrement) → подхватываем без
-  // сетевого запроса.
-  subscribeBalancesStorage() {
-    typeof this.storage.watch == "function" && (this.balancesStorageUnwatch = this.storage.watch(
-      this.balancesStorageKey(),
-      (t) => {
-        if (t)
-          try {
-            const e = JSON.parse(t);
-            if (!e?.balances || !Array.isArray(e.balances) || e.at <= this.cachedBalancesAt) return;
-            this.applyBalances(e.balances, { persist: !1 });
-          } catch {
-          }
-      }
-    ));
-  }
-  async createCheckout(t) {
-    if (!this.identity?.email)
-      throw new r(
-        "identity_required",
-        "createCheckout requires identity with email"
-      );
-    const e = t.idempotencyKey ?? `auto:${t.priceId}`, s = this.inflightCheckouts.get(e);
-    if (s) return s;
-    const n = {
-      "Idempotency-Key": t.idempotencyKey ?? E()
-    };
-    this.apiKey && (n["X-Api-Key"] = this.apiKey);
-    const o = this.cachedBootstrap?.settings, u = t.successUrl ?? o?.success_redirect_url ?? void 0, l = t.shopUrl ?? o?.checkout_shop_url ?? void 0, d = this.api.request(`/api/v1/paywall/${this.paywallId}/start-checkout`, {
-      method: "POST",
-      headers: n,
-      signal: t.signal,
-      body: JSON.stringify({
-        email: this.identity.email,
-        priceId: Number(t.priceId),
-        successUrl: u,
-        errorUrl: t.errorUrl,
-        shopUrl: l,
-        productName: o?.checkout_product_name ?? void 0,
-        trial_days: t.trialDays,
-        ignoreActivePurchase: t.ignoreActivePurchase ? !0 : void 0,
-        userMeta: this.identity.userId ? { userId: this.identity.userId } : void 0
-      })
-    }).then((h) => ({ url: h.checkoutUrl, acquiring: h.acquiring })).catch((h) => {
-      throw h instanceof r && h.status === 409 && h.cause && typeof h.cause == "object" && h.cause.hasActivePurchase === !0 ? new r(
-        "already_purchased",
-        "You already have an active subscription",
-        { status: 409, cause: h.cause }
-      ) : h;
-    });
-    return this.inflightCheckouts.set(e, d), d.finally(() => {
-      this.inflightCheckouts.get(e) === d && this.inflightCheckouts.delete(e);
-    }).catch(() => {
-    }), d;
-  }
-  /**
-   * URL Stripe/Paddle/Chargebee customer portal — место, где залогиненный
-   * юзер может управлять подпиской (отменить, обновить карту, скачать
-   * инвойсы). Опен-флоу управляется host'ом:
-   *
-   * ```ts
-   * const { url } = await billing.getCustomerPortalUrl();
-   * window.open(url, '_blank');
-   * ```
-   *
-   * Auth: Bearer (через AuthClient) или server-side `apiKey`. Без auth и
-   * без apiKey бросает PaywallError('identity_required'). 403 от бэка
-   * (нет активной подписки / acquiring не поддерживает portal) пробрасывается
-   * как PaywallError('forbidden') с `status: 403` — host рендерит "no
-   * subscription to manage".
-   */
-  async getCustomerPortalUrl(t = {}) {
-    if (!this.auth && !this.apiKey && !this.identity?.email)
-      throw new r(
-        "identity_required",
-        "getCustomerPortalUrl requires auth, apiKey, or identity.email"
-      );
-    const e = {};
-    this.apiKey && (e["X-Api-Key"] = this.apiKey);
-    const s = this.auth && this.auth.getCachedSession() ? {} : {
-      email: this.identity?.email,
-      userMeta: this.identity?.userId ? { userId: this.identity.userId } : void 0
-    };
-    return { url: (await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/get-customer-portal`,
-      {
-        method: "POST",
-        headers: Object.keys(e).length ? e : void 0,
-        body: JSON.stringify(s),
-        signal: t.signal
-      }
-    )).url };
-  }
-  /**
-   * Список покупок юзера с rich-полями (цена, валюта, interval, discount,
-   * cancel-метаданные). Подходит для customer-portal UI: cards с кнопками
-   * Cancel/Renew/Manage. Менее cache-friendly чем `getUser` — ходит в
-   * `/api/v1/paywall/[id]/user` без unstable_cache, потому что list для UI
-   * должен быть свежим после cancel-а.
-   *
-   * Auth: Bearer обязателен (через AuthClient). Без Bearer — 401 от бэка,
-   * пробрасываем как PaywallError('http_401'). Гость → пустой список.
-   */
-  async listPurchases(t = {}) {
-    if (!this.auth)
-      throw new r(
-        "auth_required",
-        "listPurchases requires AuthClient (Bearer auth)"
-      );
-    return (await this.api.request(`/api/v1/paywall/${this.paywallId}/user`, {
-      method: "GET",
-      signal: t.signal
-    })).purchases ?? [];
-  }
-  /**
-   * Отменить подписку. Бэк проверит что subscription принадлежит auth-юзеру
-   * и сделает cancel у acquiring'а (Stripe/Paddle/Chargebee). По умолчанию
-   * cancel в конце текущего периода — юзер сохраняет access до renewal date'ы.
-   *
-   * `reason` обязательна (валидация на бэке). Удобно собрать через select
-   * причин в host-UI, как в legacy customer portal'е.
-   *
-   * Auth: Bearer обязателен.
-   */
-  async cancelSubscription(t) {
-    if (!this.auth)
-      throw new r(
-        "auth_required",
-        "cancelSubscription requires AuthClient (Bearer auth)"
-      );
-    return this.api.request("/api/paywall/cancel-subscription", {
-      method: "POST",
-      body: JSON.stringify({
-        subscriptionId: t.subscriptionId,
-        paywallId: this.paywallId,
-        cancellationReason: t.reason
-      }),
-      signal: t.signal
-    });
-  }
-  /**
-   * Создаёт саппорт-тикет. Если есть `files` — multipart/form-data, иначе JSON.
-   * Email берётся (1) из явного поля payload.email; (2) из identity если оно есть.
-   * Если ни того, ни другого нет — бэк отвергнет тикет (`email_required`).
-   *
-   * Bearer-токен (если AuthClient подключён) добавляется автоматически — бэк
-   * перевешивает customer_email на email из сессии (защита от подделки).
-   */
-  async createSupportTicket(t) {
-    const e = t.email ?? this.identity?.email ?? null, s = `/api/v1/paywall/${this.paywallId}/support/ticket`;
-    if (!!t.files && t.files.length > 0) {
-      const n = new FormData();
-      n.set("subject", t.subject), n.set("content", t.content), e && n.set("customer_email", e);
-      for (const o of t.files) n.append("files", o);
-      return this.api.request(s, {
-        method: "POST",
-        body: n
-      });
-    }
-    return this.api.request(s, {
-      method: "POST",
-      body: JSON.stringify({
-        subject: t.subject,
-        content: t.content,
-        customer_email: e
-      })
-    });
-  }
-}
-function T(a) {
-  return { email: a.email, userId: a.id };
-}
-function Y(a, t) {
-  return a === t ? !0 : !a || !t ? !1 : a.email === t.email && a.userId === t.userId && a.anonymousId === t.anonymousId;
-}
-function U(a, t) {
-  return {
-    type: "modal",
-    blocks: [
-      { type: "heading", text: a.name || "Upgrade", level: 1 },
-      { type: "price_grid", priceIds: t.map((e) => e.id) },
-      { type: "cta_button", label: "Continue", action: "checkout" }
-    ]
-  };
-}
-function L(a) {
-  const t = a.locales;
-  if (!t) return null;
-  const e = [];
-  if (typeof navigator < "u") {
-    navigator.language && e.push(navigator.language);
-    const i = navigator.language?.split("-")[0];
-    i && i !== navigator.language && e.push(i);
-  }
-  const s = a.settings.locale_default;
-  s && e.push(s);
-  for (const i of e)
-    if (i && Object.prototype.hasOwnProperty.call(t, i)) return i;
-  return null;
-}
-function g(a) {
-  const t = L(a);
-  if (!t) return;
-  const e = a.locales?.[t];
-  e && (e.layout && (a.layout = e.layout), e.prices && (a.prices = a.prices.map((s) => {
-    const i = e.prices?.[s.id];
-    if (!i) return s;
-    const n = { ...s };
-    return "label" in i && (n.label = i.label ?? null), "description" in i && (n.description = i.description ?? null), n;
-  })));
-}
-function P(a) {
-  const t = new Uint8Array(a), e = typeof globalThis < "u" ? globalThis.crypto : void 0;
-  if (e && typeof e.getRandomValues == "function")
-    e.getRandomValues(t);
-  else
-    for (let s = 0; s < a; s++) t[s] = Math.floor(Math.random() * 256);
-  return t;
-}
-function v(a) {
-  let t = "";
-  for (let e = 0; e < a.length; e++) t += String.fromCharCode(a[e]);
-  return btoa(t).replace(/\+/g, "-").replace(/\//g, "_").replace(/=+$/, "");
-}
-function Z() {
-  return v(P(64));
-}
-async function tt(a) {
-  const t = new TextEncoder().encode(a), e = globalThis.crypto;
-  if (!e?.subtle?.digest)
-    throw new Error("crypto.subtle is required for PKCE");
-  const s = await e.subtle.digest("SHA-256", t);
-  return v(new Uint8Array(s));
-}
-function et() {
-  return v(P(16));
-}
-const st = "https://appbox.space", it = 6e4, at = 600 * 1e3;
-class dt {
-  constructor(t) {
-    if (this.session = null, this.inflightRefresh = null, this.inflightAnonSignin = null, this.listeners = /* @__PURE__ */ new Set(), this.storageUnwatch = null, this.destroyed = !1, this.oauthFlows = /* @__PURE__ */ new Map(), !t.paywallId)
-      throw new r("invalid_config", "paywallId is required");
-    this.paywallId = t.paywallId, this.apiOrigin = t.apiOrigin ?? st, this.storage = C(t.storage), this.api = new O({
-      apiOrigin: this.apiOrigin,
-      paywallId: t.paywallId,
-      fetch: t.fetch
-    }), this.openPopup = t.openPopup ?? ((e, s) => typeof window > "u" ? null : window.open(e, s, "width=480,height=640,popup=yes")), this.hydrated = this.hydrate(), this.startStorageWatch();
-  }
-  /**
-   * Подписывается на изменения session-ключа в storage из других контекстов:
-   *  - Chrome Extension: `chrome.storage.onChanged` шарится popup ↔ background ↔
-   *    options ↔ content script. Логин в одном контексте → остальные сразу
-   *    эмитят onAuthChange и в getAccessToken отдают свежий Bearer.
-   *  - Web: `window.storage` event фаерится в ДРУГИХ вкладках того же origin'а
-   *    (своя вкладка свой setItem не получает — петель нет).
-   *
-   * Loop-guard: сравниваем content по полям session перед applySession, чтобы
-   * не фрить лишних onAuthChange при идентичной перезаписи. Вызовы из других
-   * контекстов с тем же содержимым (пересохранение) — no-op.
-   */
-  startStorageWatch() {
-    typeof this.storage.watch == "function" && (this.storageUnwatch = this.storage.watch(this.storageKey(), (t) => {
-      this.applyExternalSession(t);
-    }));
-  }
-  async applyExternalSession(t) {
-    if (!this.destroyed && (await this.hydrated, !this.destroyed)) {
-      if (t == null) {
-        this.session && this.setSession(null, { skipPersist: !0 });
-        return;
-      }
-      try {
-        const e = JSON.parse(t);
-        if (!e || typeof e.access_token != "string" || typeof e.refresh_token != "string" || typeof e.expires_at != "number" || !e.user)
-          return;
-        this.setSession(e, { skipPersist: !0 });
-      } catch {
-      }
-    }
-  }
-  /**
-   * Promise гидратации session из storage. До его resolve getCachedSession()
-   * может ещё вернуть null. getAccessToken/refresh/signOut/sign* awaitят его
-   * сами, наружу выставляем для UI'я, чтобы он мог дождаться initial state
-   * прежде чем рисовать «logged-out» вспышку.
-   */
-  ready() {
-    return this.hydrated;
-  }
-  /** Sync snapshot без сетевых запросов. null = разлогинен или ещё не гидрировались. */
-  getCachedSession() {
-    return this.session;
-  }
-  getCachedUser() {
-    return this.session?.user ?? null;
-  }
-  /**
-   * access_token для Authorization-хедера. Если до expiry < REFRESH_LEEWAY_MS,
-   * делает lazy refresh. null = разлогинен или refresh упал на 401 (refresh
-   * token revoked) — вызывающему стоит редиректить на логин.
-   *
-   * Сетевые/5xx ошибки refresh бросаются — текущий access ещё валиден,
-   * вызывающий может попробовать запрос с ним; следующий getAccessToken
-   * попробует refresh снова.
-   */
-  async getAccessToken() {
-    if (await this.hydrated, !this.session && (await this.rehydrateFromStorage(), !this.session))
-      return null;
-    if (this.isFresh(this.session)) return this.session.access_token;
-    try {
-      return (await this.refresh())?.access_token ?? null;
-    } catch {
-      return this.session?.access_token ?? null;
-    }
-  }
-  async signInWithEmail(t) {
-    await this.hydrated;
-    const e = await this.readVisitorId(), s = {};
-    t.idempotencyKey && (s["Idempotency-Key"] = t.idempotencyKey);
-    const i = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/email/signin`,
-      {
-        method: "POST",
-        headers: Object.keys(s).length ? s : void 0,
-        body: JSON.stringify({
-          email: t.email,
-          password: t.password,
-          visitor_id: e,
-          user_meta: t.userMeta
-        })
-      }
-    ), n = this.toSession(i, i.user);
-    return this.setSession(n), n;
-  }
-  /**
-   * Signup. Если в Supabase включён email confirm — сервер возвращает
-   * `{status: 'confirmation_required', user}` и НЕ выдаёт токены. В этом
-   * случае setSession не зовётся, юзер должен пройти OTP/magic-link
-   * (отдельная фича следующего PR).
-   */
-  async signUp(t) {
-    await this.hydrated;
-    const e = await this.readVisitorId(), s = {};
-    t.idempotencyKey && (s["Idempotency-Key"] = t.idempotencyKey);
-    const i = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/email/signup`,
-      {
-        method: "POST",
-        headers: Object.keys(s).length ? s : void 0,
-        body: JSON.stringify({
-          email: t.email,
-          password: t.password,
-          visitor_id: e,
-          user_meta: t.userMeta
-        })
-      }
-    );
-    if (i.status === "confirmation_required")
-      return { kind: "confirmation_required", user: i.user };
-    const n = this.toSession(i, i.user);
-    return this.setSession(n), { kind: "signed_in", session: n };
-  }
-  /**
-   * Повторная отправка confirmation-email после signUp с включённым
-   * email-confirm. Использует GoTrue `/resend` type='signup'. Бэк всегда
-   * отдаёт ok (anti-enumeration), кроме 429 при rate-limit (~1 раз/мин на
-   * email на стороне Supabase). Host обрабатывает 429 показом «подождите
-   * минуту»; остальное — как success.
-   */
-  async resendConfirmation(t) {
-    await this.hydrated;
-    const e = {};
-    t.idempotencyKey && (e["Idempotency-Key"] = t.idempotencyKey), await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/email/resend`,
-      {
-        method: "POST",
-        headers: Object.keys(e).length ? e : void 0,
-        body: JSON.stringify({ email: t.email })
-      }
-    );
-  }
-  /**
-   * Email-OTP / signin без password. Шлёт 6-значный код юзеру на email.
-   * Anti-enumeration: бэк всегда отдаёт ok, поэтому метод не различает
-   * «email не существует» и «отправлено» — следующий шаг (verifyOtp) сам
-   * упадёт invalid_otp если юзера нет. Под капотом GoTrue с create_user=true,
-   * так что новые юзеры через OTP логинятся за один шаг (отправка → ввод
-   * кода → session).
-   */
-  async sendOtp(t) {
-    await this.hydrated, await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/otp/send`,
-      {
-        method: "POST",
-        body: JSON.stringify({
-          email: t.email,
-          create_user: t.createUser ?? !0,
-          user_meta: t.userMeta
-        })
-      }
-    );
-  }
-  /**
-   * Верификация OTP. type='email' (signin/signup-by-otp) — после успеха
-   * setSession и onAuthChange. type='recovery' — после /requestPasswordReset:
-   * выдаётся короткоживущий access_token для последующего updatePassword.
-   * Мы храним recovery-session так же, как обычную: SDK не различает «можно
-   * залогиниться» vs «можно сменить пароль» — это одна и та же session.
-   */
-  async verifyOtp(t) {
-    await this.hydrated;
-    const e = await this.readVisitorId(), s = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/otp/verify`,
-      {
-        method: "POST",
-        body: JSON.stringify({
-          email: t.email,
-          token: t.token,
-          type: t.type ?? "email",
-          visitor_id: e,
-          user_meta: t.userMeta
-        })
-      }
-    ), i = this.toSession(s, s.user);
-    return this.setSession(i), i;
-  }
-  /**
-   * Запрос recovery email. Бэк всегда ok, чтобы не палить enumeration.
-   * Юзер вводит код из письма в SDK-ui → verifyOtp({type:'recovery'}) →
-   * получает session → updatePassword.
-   */
-  async requestPasswordReset(t) {
-    await this.hydrated, await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/password/request-reset`,
-      {
-        method: "POST",
-        body: JSON.stringify({ email: t.email })
-      }
-    );
-  }
-  /**
-   * Меняет пароль текущей session. Работает после verifyOtp({type:'recovery'})
-   * (recovery-session) и после обычного логина — оба случая дают валидный
-   * access_token. Если session нет — бросаем PaywallError('not_authenticated')
-   * до сетевого запроса, чтобы UI не дёргал бэк впустую.
-   */
-  async updatePassword(t) {
-    await this.hydrated;
-    const e = await this.getAccessToken();
-    if (!e)
-      throw new r("not_authenticated", "no active session");
-    await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/password/update`,
-      {
-        method: "POST",
-        headers: { Authorization: `Bearer ${e}` },
-        body: JSON.stringify({ password: t.password })
-      }
-    );
-  }
-  /**
-   * Анонимный signin (Supabase user без email). Лестница попыток:
-   *
-   *   1. Если уже залогинены анонимно (session.user.is_anonymous === true) —
-   *      no-op, возвращаем текущую session. Идемпотентно для UI'я, который
-   *      может звать signInAnonymously() в render-loop'е, не отслеживая state.
-   *
-   *   2. Resume через сохранённый anon refresh_token (`STORAGE_KEYS.anonRefreshToken`).
-   *      Если токен есть — пробуем `/auth/refresh` им. Success → setSession,
-   *      возвращаем юзера ТОГО ЖЕ id что был при предыдущем anon signin'е
-   *      (обещание из user-фидбека: «если разлогинился из анонимного —
-   *      логинить в этот же акк»).
-   *
-   *   3. Иначе → POST /auth/anonymous/signin → setSession + сохраняем
-   *      refresh_token в anonRefreshToken.
-   *
-   * `captchaToken` сейчас не требуется — captcha protection в Supabase
-   * отключена, защита от per-IP abuse держится на rate-limit'е Supabase'а
-   * (30/час per real-IP, см. IP forwarding setup в supabaseAuthRest.ts) +
-   * CF Bot Fight Mode на edge. Поле оставлено optional для forward-compat:
-   * когда сервер начнёт возвращать challenge_required в риск-сценариях,
-   * SDK сможет передать proof-of-something обратно без breaking change.
-   *
-   * `forceCaptcha: true` пропускает шаги 1-2 и сразу делает /signin (создаёт
-   * нового anon-юзера). Используется в switch-account flow. Имя поля исторически
-   * остаётся `forceCaptcha`, хотя капчи там больше нет — менять имя ломает
-   * host-сигнатуру; смысл «принудительно новая anon-сессия» сохранён.
-   *
-   * Параллельные вызовы дедуплицируются через `inflightAnonSignin` — два
-   * click'а на «Войти как гость» не создадут двух anon-юзеров (два /signup =
-   * два user_id, второй trial-баланс улетает в нирвану).
-   */
-  async signInAnonymously(t = {}) {
-    if (this.inflightAnonSignin) return this.inflightAnonSignin;
-    this.inflightAnonSignin = (async () => {
-      if (await this.hydrated, !t.forceCaptcha && this.session?.user.is_anonymous === !0)
-        return this.session;
-      if (!t.forceCaptcha) {
-        const o = await this.resumeAnonymous();
-        if (o) return o;
-      }
-      const e = await this.readVisitorId(), s = await this.api.request(
-        `/api/v1/paywall/${this.paywallId}/auth/anonymous/signin`,
-        {
-          method: "POST",
-          body: JSON.stringify({
-            ...t.captchaToken ? { captcha_token: t.captchaToken } : {},
-            visitor_id: e,
-            user_meta: t.userMeta
-          })
-        }
-      ), i = {
-        ...s.user,
-        email: s.user.email ?? null,
-        is_anonymous: !0
-      }, n = this.toSession(s, i);
-      return this.setSession(n), await this.writeAnonRefreshToken(n.refresh_token), n;
-    })();
-    try {
-      return await this.inflightAnonSignin;
-    } finally {
-      this.inflightAnonSignin = null;
-    }
-  }
-  /**
-   * Внутренний resume — пробует /auth/refresh с сохранённым anon refresh_token.
-   * Возвращает session при успехе, null если токена нет или он отозван (401).
-   * Сетевые ошибки бросает наружу — caller сам решает, ретраить или просить
-   * пользователя пройти капчу.
-   */
-  async resumeAnonymous() {
-    const t = await this.readAnonRefreshToken();
-    if (!t) return null;
-    try {
-      const e = await this.api.request(
-        `/api/v1/paywall/${this.paywallId}/auth/refresh`,
-        { method: "POST", body: JSON.stringify({ refresh_token: t }) }
-      ), s = this.session?.user.is_anonymous === !0 ? this.session.user : { id: "", email: null, is_anonymous: !0 }, i = this.toSession(e, s);
-      return this.setSession(i), await this.writeAnonRefreshToken(i.refresh_token), i;
-    } catch (e) {
-      if (e instanceof r && e.status === 401)
-        return await this.clearAnonRefreshToken(), null;
-      throw e;
-    }
-  }
-  /**
-   * Анон → email/password upgrade. Сохраняет тот же auth.user.id, балансы
-   * и trial-quotas остаются. Поведение зависит от Supabase email-confirm
-   * настройки проекта:
-   *
-   *  - Confirmation OFF → backend сразу обновляет email + password в auth.users.
-   *    Возвращаем `kind: 'updated'`, локально патчим session.user.email +
-   *    is_anonymous=false (текущий access_token остаётся валидным, перевыдавать
-   *    не нужно — GoTrue не вращает токены на updateUser).
-   *
-   *  - Confirmation ON → backend отдаёт `confirmation_required`. Текущая
-   *    session ОСТАЁТСЯ анонимной до клика юзером по confirmation-ссылке.
-   *    Password применяется сразу (можно дальше логиниться по нему даже до
-   *    confirm'а). После клика — следующий /auth/refresh подтянет обновлённый
-   *    is_anonymous=false из JWT (refresh не возвращает user, так что
-   *    UI может явно подёргать `auth.refresh()` через минуту-другую, либо
-   *    дождаться lazy-refresh при истечении access).
-   *
-   * Без активной session бросает `not_authenticated`. Дедупликации нет —
-   * двойной submit формы UI должен предотвратить idempotencyKey'ом.
-   */
-  async upgradeAnonymousToEmail(t) {
-    await this.hydrated;
-    const e = await this.getAccessToken();
-    if (!e)
-      throw new r("not_authenticated", "no active session");
-    const s = {
-      Authorization: `Bearer ${e}`
-    };
-    t.idempotencyKey && (s["Idempotency-Key"] = t.idempotencyKey);
-    const i = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/anonymous/upgrade`,
-      {
-        method: "POST",
-        headers: s,
-        body: JSON.stringify({
-          email: t.email,
-          password: t.password,
-          user_meta: t.userMeta
-        })
-      }
-    );
-    if (i.status === "confirmation_required")
-      return { kind: "confirmation_required", email: i.email };
-    const n = this.session;
-    if (!n)
-      throw new r(
-        "not_authenticated",
-        "session disappeared during upgrade"
-      );
-    const o = {
-      ...n.user,
-      id: i.user.id,
-      email: i.user.email,
-      is_anonymous: i.user.is_anonymous ?? !1
-    }, u = { ...n, user: o };
-    return this.setSession(u), await this.clearAnonRefreshToken(), { kind: "updated", session: u };
-  }
-  /**
-   * OAuth signin через popup с PKCE. Жизненный цикл:
-   * 1. Генерим verifier+challenge+state локально (verifier не уходит на бэк
-   *    до /exchange — это защита от перехвата code'а).
-   * 2. POST /oauth/init с challenge → бэк отдаёт authorize_url.
-   * 3. Открываем popup, ждём postMessage с типом 'pw-oauth' и нашим state.
-   * 4. POST /oauth/exchange с {auth_code, code_verifier} → session.
-   *
-   * Таймаут — 5 минут от открытия popup'а. Если юзер закрыл popup до конца
-   * флоу (window.closed → true) — бросаем PaywallError('oauth_cancelled').
-   * Параллельные вызовы НЕ дедупятся — каждый открывает свой popup; вызывать
-   * параллельно не имеет смысла, но защищаться от этого код не должен.
-   *
-   * onPopupOpened вызывается сразу после успешного window.open (до ожидания
-   * code'а). UI использует это, чтобы сбросить loading-state кнопки: дальше
-   * ответственность за флоу у popup'а, основная страница не должна висеть.
-   * Если popup'ом не вернулся code (юзер закрыл вкладку, closed-detection
-   * не сработал из-за COOP-severance) — promise дойдёт до oauth_timeout
-   * через 5 минут, но кнопка к этому моменту уже свободна.
-   */
-  async signInWithOAuth(t) {
-    if (typeof window > "u")
-      throw new r("oauth_unavailable", "window is required for OAuth");
-    const { authorize_url: e, state: s } = await this.startOAuthFlow({
-      provider: t.provider,
-      scopes: t.scopes,
-      userMeta: t.userMeta
-    }), i = this.openPopup(e, `pw-oauth-${s}`);
-    if (!i)
-      throw this.oauthFlows.delete(s), new r(
-        "popup_blocked",
-        "browser blocked auth popup — call from a user gesture"
-      );
-    t.onPopupOpened?.();
-    const n = await ot(i, s);
-    if (this.destroyed)
-      throw this.oauthFlows.delete(s), new r("aborted", "AuthClient destroyed mid-flow");
-    return this.completeOAuthFlow({ state: s, code: n });
-  }
-  /**
-   * Шаг 1 OAuth split-API: инициирует flow на бэке, генерит PKCE verifier
-   * + state, сохраняет их у себя, возвращает `{authorize_url, state}` для
-   * открытия popup'а. Верификатор НЕ выходит наружу — его держит AuthClient
-   * до `completeOAuthFlow`.
-   *
-   * Используется в offscreen-архитектуре (@monetize/sdk-extension): start
-   * вызывается через RPC из content-script'а, content открывает popup
-   * нативно (gesture preserved), затем зовёт completeOAuthFlow с code'ом.
-   * AuthClient (в offscreen'е) делает /exchange с сохранённым verifier'ом.
-   *
-   * Pending flows GC'атся через 10мин — больше чем юзеру нужно прокликать
-   * Google. Без cleanup'а Map бы рос на каждый закрытый popup.
-   */
-  async startOAuthFlow(t) {
-    await this.hydrated, this.gcOAuthFlows();
-    const e = Z(), s = await tt(e), i = et(), n = {}, o = await this.getAccessToken().catch(() => null);
-    o && (n.Authorization = `Bearer ${o}`);
-    const { authorize_url: u } = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/oauth/init`,
-      {
-        method: "POST",
-        headers: Object.keys(n).length ? n : void 0,
-        body: JSON.stringify({
-          provider: t.provider,
-          code_challenge: s,
-          code_challenge_method: "s256",
-          scopes: t.scopes
-        })
-      }
-    );
-    return this.oauthFlows.set(i, {
-      verifier: e,
-      userMeta: t.userMeta,
-      startedAt: Date.now()
-    }), { authorize_url: u, state: i };
-  }
-  /**
-   * Шаг 2 OAuth split-API: обменивает code (полученный из popup) на session,
-   * используя verifier, сохранённый при startOAuthFlow. После успеха — set
-   * session и эмит onAuthChange.
-   *
-   * Если flow не найден (state не из startOAuthFlow или GC'нулся за TTL'ом) —
-   * бросает `oauth_invalid_state`. Caller должен начать заново через
-   * startOAuthFlow.
-   */
-  async completeOAuthFlow(t) {
-    await this.hydrated;
-    const e = this.oauthFlows.get(t.state);
-    if (!e)
-      throw new r(
-        "oauth_invalid_state",
-        "OAuth flow not found — start with startOAuthFlow first or check TTL"
-      );
-    this.oauthFlows.delete(t.state);
-    const s = await this.readVisitorId(), i = await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/oauth/exchange`,
-      {
-        method: "POST",
-        body: JSON.stringify({
-          auth_code: t.code,
-          code_verifier: e.verifier,
-          visitor_id: s,
-          user_meta: e.userMeta
-        })
-      }
-    );
-    if (this.destroyed)
-      throw new r("aborted", "AuthClient destroyed mid-flow");
-    const n = this.toSession(i, i.user);
-    return this.setSession(n), n;
-  }
-  gcOAuthFlows() {
-    const t = Date.now() - at;
-    for (const [e, s] of this.oauthFlows)
-      s.startedAt < t && this.oauthFlows.delete(e);
-  }
-  /**
-   * Refresh access/refresh пары через текущий refresh_token. Дедуплицирует
-   * параллельные вызовы (один in-flight promise на весь клиент).
-   *
-   * - 401 → refresh_token отозван/невалиден → чистим session, эмитим logout.
-   * - Сеть/5xx → пробрасываем ошибку, session оставляем — юзер не должен
-   *   разлогиниваться из-за временной сетевой проблемы.
-   * - Нет session → возвращаем null без сетевого запроса.
-   */
-  async refresh() {
-    if (await this.hydrated, !this.session) return null;
-    if (this.inflightRefresh) return this.inflightRefresh;
-    const t = this.session.refresh_token, e = this.session.user;
-    return this.inflightRefresh = (async () => {
-      try {
-        const s = await this.api.request(
-          `/api/v1/paywall/${this.paywallId}/auth/refresh`,
-          {
-            method: "POST",
-            body: JSON.stringify({ refresh_token: t })
-          }
-        ), i = this.toSession(s, e);
-        return this.setSession(i), e.is_anonymous === !0 && await this.writeAnonRefreshToken(i.refresh_token), i;
-      } catch (s) {
-        if (s instanceof r && s.status === 401)
-          return e.is_anonymous === !0 && await this.clearAnonRefreshToken(), this.setSession(null), null;
-        throw s;
-      } finally {
-        this.inflightRefresh = null;
-      }
-    })(), this.inflightRefresh;
-  }
-  /**
-   * Глобальный logout — инвалидирует ВСЕ refresh-токены юзера на всех
-   * устройствах/контекстах через GoTrue `/logout?scope=global`. Используется
-   * для compromise-account флоу («подозрительная активность, разлогинить
-   * везде»).
-   *
-   * Local-side: чистим текущую session, остальные контексты (другие вкладки
-   * / extension popup и background) подхватят logout через storage-watch
-   * автоматически. Active access-токены в других контекстах останутся валидны
-   * до их естественного истечения (1 час max), но refresh уже не сработает —
-   * после первого `getAccessToken()` каждый контекст разлогинится сам.
-   *
-   * Безопасность: бэк не принимает целевой user_id — резолвит юзера из
-   * Bearer, нельзя разлогинить чужой аккаунт.
-   */
-  async revokeAllSessions() {
-    await this.hydrated;
-    const t = this.session?.access_token;
-    if (!t)
-      throw new r("not_authenticated", "no active session");
-    await this.api.request(
-      `/api/v1/paywall/${this.paywallId}/auth/revoke-all`,
-      {
-        method: "POST",
-        headers: { Authorization: `Bearer ${t}` }
-      }
-    ), this.setSession(null);
-  }
-  /**
-   * Signout: чистит локальную session СРАЗУ (UX — мгновенный logout без
-   * ожидания сети), потом best-effort POST /auth/signout с текущим access.
-   * Ошибка сети/5xx тут уже не критична — на бэке токен и так истечёт.
-   *
-   * Anon-aware: по умолчанию anonRefreshToken сохраняется. Это позволяет
-   * после signOut() позвать signInAnonymously() и попасть в ТОТ ЖЕ
-   * анон-аккаунт без капчи (см. resumeAnonymous). Поведение предсказуемое
-   * для UX'а «гость → залогинился → разлогинился → снова гость с теми же
-   * балансами».
-   *
-   * `forgetAnonymous: true` — полное забытие, вместе с anonRefreshToken.
-   * Нужно для сценариев типа «свич аккаунта на устройстве» или жалоб на
-   * приватность («очисти все мои следы»).
-   */
-  async signOut(t = {}) {
-    await this.hydrated;
-    const e = this.session?.access_token, s = this.session?.user.is_anonymous === !0;
-    if (this.setSession(null), t.forgetAnonymous && await this.clearAnonRefreshToken(), !!e && !(s && !t.forgetAnonymous))
-      try {
-        await this.api.request(
-          `/api/v1/paywall/${this.paywallId}/auth/signout`,
-          {
-            method: "POST",
-            headers: { Authorization: `Bearer ${e}` }
-          }
-        );
-      } catch {
-      }
-  }
-  /**
-   * Подписка на изменения session: signin/signup/refresh/signOut/expired-401.
-   * Колбек вызывается с текущим snapshot через microtask (если session есть)
-   * + на каждое реальное изменение. Возвращает unsubscribe.
-   */
-  onAuthChange(t) {
-    if (this.listeners.add(t), this.session) {
-      const e = this.session;
-      queueMicrotask(() => {
-        this.listeners.has(t) && t(e);
-      });
-    }
-    return () => {
-      this.listeners.delete(t);
-    };
-  }
-  isFresh(t) {
-    return t.expires_at - Date.now() > it;
-  }
-  toSession(t, e) {
-    const s = t.expires_at != null ? t.expires_at * 1e3 : Date.now() + t.expires_in * 1e3;
-    return {
-      access_token: t.access_token,
-      refresh_token: t.refresh_token,
-      expires_at: s,
-      user: e
-    };
-  }
-  setSession(t, e = {}) {
-    if (this.destroyed) return;
-    const s = this.session;
-    this.session = t, e.skipPersist || this.persist(), ht(s, t) || this.emit();
-  }
-  emit() {
-    for (const t of this.listeners)
-      try {
-        t(this.session);
-      } catch (e) {
-        console.warn("[paywall] onAuthChange listener threw", e);
-      }
-  }
-  storageKey() {
-    return y.authSession(this.paywallId);
-  }
-  async hydrate() {
-    try {
-      const t = await this.storage.getItem(this.storageKey());
-      if (!t) return;
-      const e = JSON.parse(t);
-      if (!e || typeof e.access_token != "string" || typeof e.refresh_token != "string" || typeof e.expires_at != "number" || !e.user)
-        return;
-      this.session = e, this.emit();
-    } catch {
-    }
-  }
-  // Используется как race-fallback в getAccessToken: между construction'ом
-  // (когда storage был пуст) и onChanged-доставкой могло произойти signin
-  // в другом контексте. Не дублирует watch — тот про push, этот про pull.
-  async rehydrateFromStorage() {
-    try {
-      const t = await this.storage.getItem(this.storageKey());
-      if (!t) return;
-      const e = JSON.parse(t);
-      if (!e || typeof e.access_token != "string" || typeof e.refresh_token != "string" || typeof e.expires_at != "number" || !e.user)
-        return;
-      this.setSession(e, { skipPersist: !0 });
-    } catch {
-    }
-  }
-  /**
-   * Освобождает ресурсы AuthClient'а: отписывает storage-watch, чистит
-   * listener'ы, выставляет destroyed-флаг. После destroy все async-операции
-   * (inflight refresh, OAuth popup, applyExternalSession) early-return'ят
-   * через `isDestroyed()` guard'ы — никаких write-back'ов в storage,
-   * никаких эмитов на пустые listener'ы.
-   *
-   * destroy() идемпотентен: повторный вызов — no-op.
-   */
-  destroy() {
-    this.destroyed = !0, this.storageUnwatch && (this.storageUnwatch(), this.storageUnwatch = null), this.listeners.clear(), this.inflightRefresh = null;
-  }
-  /** Sync-проверка: был ли вызван destroy(). Полезно для UI / тестов. */
-  isDestroyed() {
-    return this.destroyed;
-  }
-  async persist() {
-    try {
-      this.session ? await this.storage.setItem(
-        this.storageKey(),
-        JSON.stringify(this.session)
-      ) : await this.storage.removeItem(this.storageKey());
-    } catch {
-    }
-  }
-  async readAnonRefreshToken() {
-    try {
-      const t = await this.storage.getItem(y.anonRefreshToken(this.paywallId));
-      return typeof t == "string" && t.length > 0 ? t : null;
-    } catch {
-      return null;
-    }
-  }
-  async writeAnonRefreshToken(t) {
-    try {
-      await this.storage.setItem(
-        y.anonRefreshToken(this.paywallId),
-        t
-      );
-    } catch {
-    }
-  }
-  async clearAnonRefreshToken() {
-    try {
-      await this.storage.removeItem(
-        y.anonRefreshToken(this.paywallId)
-      );
-    } catch {
-    }
-  }
-  /**
-   * Читает stable visitor_id из storage если он там уже есть. НЕ генерит:
-   * AuthClient может быть инстанцирован раньше BillingClient, а синтетический
-   * visitor_id без касания пейвола не имеет смысла (нет гостевых покупок,
-   * которые надо бы линковать). undefined → бэк сам пропустит ветку
-   * "merge guest purchases".
-   */
-  async readVisitorId() {
-    try {
-      const t = await this.storage.getItem(y.visitorId);
-      return typeof t == "string" && t.length >= 16 ? t : void 0;
-    } catch {
-      return;
-    }
-  }
-}
-const nt = 5 * 6e4, rt = 500;
-function ot(a, t) {
-  return new Promise((e, s) => {
-    let i = !1;
-    const n = () => {
-      i = !0, window.removeEventListener("message", o), clearInterval(u), clearTimeout(l);
-    }, o = (d) => {
-      if (i) return;
-      const h = d.data;
-      if (!(!h || h.type !== "pw-oauth") && h.messageId === t) {
-        if (h.status === "success" && h.code) {
-          n();
-          try {
-            a.close();
-          } catch {
-          }
-          e(h.code);
-        } else if (h.status === "error") {
-          n();
-          try {
-            a.close();
-          } catch {
-          }
-          s(
-            new r(
-              "oauth_failed",
-              h.description || h.error || "OAuth provider returned error"
-            )
-          );
-        }
-      }
-    }, u = setInterval(() => {
-      if (i) return;
-      let d;
-      try {
-        d = a.closed;
-      } catch {
-        return;
-      }
-      d && (n(), s(new r("oauth_cancelled", "auth popup was closed")));
-    }, rt), l = setTimeout(() => {
-      if (!i) {
-        n();
-        try {
-          a.close();
-        } catch {
-        }
-        s(new r("oauth_timeout", "OAuth flow timed out"));
-      }
-    }, nt);
-    window.addEventListener("message", o);
-  });
-}
-function ht(a, t) {
-  return a === t ? !0 : !a || !t ? !1 : a.access_token === t.access_token && a.refresh_token === t.refresh_token && a.expires_at === t.expires_at && a.user.id === t.user.id && a.user.email === t.user.email;
-}
-const ct = 1500, lt = 20, k = 200;
-class ft {
-  constructor(t) {
-    this.buffer = [], this.flushTimer = null, this.destroyed = !1, this.unloadHandler = null, this.visibilityHandler = null, this.opts = t, this.isEnabled() && this.attachUnloadHandlers();
-  }
-  isEnabled() {
-    return this.opts.enabled !== !1;
-  }
-  track(t, e) {
-    if (this.destroyed || !this.isEnabled() || typeof t != "string" || t.length === 0) return;
-    this.buffer.push({ type: t, ts: Date.now(), props: e });
-    const s = this.opts.maxBufferSize ?? lt;
-    if (this.buffer.length >= s) {
-      this.flush();
-      return;
-    }
-    this.buffer.length > k && (this.buffer = this.buffer.slice(-k)), this.scheduleFlush();
-  }
-  scheduleFlush() {
-    if (this.flushTimer || this.destroyed) return;
-    const t = this.opts.flushIntervalMs ?? ct;
-    this.flushTimer = setTimeout(() => {
-      this.flushTimer = null, this.flush();
-    }, t);
-  }
-  async flush() {
-    if (this.buffer.length === 0) return;
-    this.flushTimer && (clearTimeout(this.flushTimer), this.flushTimer = null);
-    const t = this.buffer;
-    this.buffer = [];
-    try {
-      const e = await this.opts.getVisitorId(), s = this.opts.getUserId?.() ?? null, i = JSON.stringify({ events: t }), n = this.opts.fetch ?? (typeof fetch < "u" ? fetch : void 0);
-      if (!n) return;
-      await n(this.opts.endpoint, {
-        method: "POST",
-        credentials: "omit",
-        keepalive: !0,
-        // если страница закроется в этот момент — браузер всё равно дотянет
-        headers: this.buildHeaders(e, s),
-        body: i
-      });
-    } catch {
-    }
-  }
-  /**
-   * Отправка через navigator.sendBeacon — для unload/pagehide. Гарантированно
-   * долетает (POST с keepalive тоже почти, но beacon сделан именно под это).
-   * Headers ставить нельзя (спецификация), поэтому SDK metadata едет в body
-   * как fallback-поля, которые сервер читает в дополнение к headers.
-   */
-  flushBeacon() {
-    if (this.buffer.length === 0) return;
-    const t = this.buffer;
-    this.buffer = [];
-    const e = this.opts.getCachedVisitorId?.() ?? null, s = this.opts.getUserId?.() ?? null;
-    if (!e) {
-      this.buffer.unshift(...t), this.flush();
-      return;
-    }
-    const i = JSON.stringify({
-      events: t,
-      // body-level дубликаты для beacon-flow, читаются сервером как fallback.
-      visitor_id: e,
-      user_id: s,
-      sdk_version: m,
-      paywall_id: this.opts.paywallId,
-      capabilities: this.opts.capabilities?.join(",") ?? ""
-    }), n = this.opts.sendBeacon ?? (typeof navigator < "u" && typeof navigator.sendBeacon == "function" ? navigator.sendBeacon.bind(navigator) : null);
-    if (!n) {
-      this.buffer.unshift(...t), this.flush();
-      return;
-    }
-    try {
-      n(this.opts.endpoint, i) || (this.buffer.unshift(...t), this.flush());
-    } catch {
-      this.buffer.unshift(...t), this.flush();
-    }
-  }
-  buildHeaders(t, e) {
-    const s = {
-      "Content-Type": "application/json",
-      "X-SDK-Version": m,
-      "X-Paywall-Id": this.opts.paywallId,
-      "X-Visitor-Id": t
-    };
-    return this.opts.capabilities?.length && (s["X-SDK-Capabilities"] = this.opts.capabilities.join(",")), e && (s["X-User-Id"] = e), s;
-  }
-  attachUnloadHandlers() {
-    typeof window > "u" || (this.unloadHandler = () => this.flushBeacon(), this.visibilityHandler = () => {
-      typeof document < "u" && document.visibilityState === "hidden" && this.flushBeacon();
-    }, window.addEventListener("pagehide", this.unloadHandler), typeof document < "u" && document.addEventListener("visibilitychange", this.visibilityHandler));
-  }
-  detachUnloadHandlers() {
-    typeof window > "u" || (this.unloadHandler && window.removeEventListener("pagehide", this.unloadHandler), this.visibilityHandler && typeof document < "u" && document.removeEventListener("visibilitychange", this.visibilityHandler), this.unloadHandler = null, this.visibilityHandler = null);
-  }
-  destroy() {
-    this.destroyed || (this.destroyed = !0, this.flushTimer && (clearTimeout(this.flushTimer), this.flushTimer = null), this.flush(), this.detachUnloadHandlers());
-  }
-}
+import { A as r, a as s, b as t, B as i, E as o, P as f, Q as l, S as n, c as S, d as E, e as d, f as A, h as c, o as p, r as O, i as g } from "./chunks/index-CLB1AgLg.js";
 export {
-  O as ApiClient,
-  K as ApiGatewayClient,
-  dt as AuthClient,
-  ut as BillingClient,
-  ft as EventTracker,
-  r as PaywallError,
-  q as QuotaExceededError,
-  m as SDK_VERSION,
-  y as STORAGE_KEYS,
-  C as createStorage,
-  S as ensureVisitorId,
-  E as generateVisitorId
+  r as ApiClient,
+  s as ApiGatewayClient,
+  t as AuthClient,
+  i as BillingClient,
+  o as EventTracker,
+  f as PaywallError,
+  l as QuotaExceededError,
+  n as SDK_VERSION,
+  S as STORAGE_KEYS,
+  E as createStorage,
+  d as ensureVisitorId,
+  A as findApplicableOffer,
+  c as generateVisitorId,
+  p as offerStartStorageKey,
+  O as readBrowserOfferStart,
+  g as resolveOffer
 };
 //# sourceMappingURL=core.js.map