@allanfsouza/aether-sdk 2.4.5 → 2.4.7

package/dist/http-client.d.ts

@@ -3,6 +3,7 @@ import type { PlataformaClient } from "./index.js";
 /**
  * Cria uma instância do Axios pré-configurada.
  * - Injeta automaticamente headers de Auth e Projeto.
+ * - Renova token automaticamente quando expira (401).
  * - Converte erros em AetherError.
  */
 export declare function createHttpClient(client: PlataformaClient): AxiosInstance;

package/dist/http-client.js

@@ -1,20 +1,41 @@
 // src/http-client.ts
 import axios from "axios";
 import { handleAxiosError } from "./errors.js";
+// Flag para evitar múltiplos refreshes simultâneos
+let isRefreshing = false;
+// Fila de requisições aguardando o refresh
+let failedQueue = [];
+/**
+ * Processa a fila de requisições após o refresh.
+ */
+const processQueue = (error, token = null) => {
+    failedQueue.forEach((prom) => {
+        if (error) {
+            prom.reject(error);
+        }
+        else {
+            prom.resolve(token);
+        }
+    });
+    failedQueue = [];
+};
 /**
  * Cria uma instância do Axios pré-configurada.
  * - Injeta automaticamente headers de Auth e Projeto.
+ * - Renova token automaticamente quando expira (401).
  * - Converte erros em AetherError.
  */
 export function createHttpClient(client) {
     const http = axios.create({
-        // Adiciona o /v1 automaticamente em todas as chamadas do SDK
         baseURL: `${client.apiUrl}/v1`,
         headers: {
             "Content-Type": "application/json",
         },
     });
-    // Interceptor de REQUEST
+    // ===========================================================================
+    // INTERCEPTOR DE REQUEST
+    // Injeta token e projectId em todas as requisições
+    // ===========================================================================
     http.interceptors.request.use((config) => {
         const token = client.getToken();
         if (token) {
@@ -25,7 +46,73 @@ export function createHttpClient(client) {
         }
         return config;
     });
-    // Interceptor de RESPONSE
-    http.interceptors.response.use((response) => response, (error) => handleAxiosError(error));
+    // ===========================================================================
+    // INTERCEPTOR DE RESPONSE
+    // Detecta 401 e tenta refresh automático do token
+    // ===========================================================================
+    http.interceptors.response.use((response) => response, async (error) => {
+        const originalRequest = error.config;
+        // Verifica se é erro 401 (não autorizado) e não é retry
+        const isUnauthorized = error.response?.status === 401;
+        const isRetry = originalRequest?._retry;
+        const isAuthRoute = originalRequest?.url?.includes("/auth/");
+        // Não tenta refresh se:
+        // - Não é 401
+        // - Já é um retry
+        // - É uma rota de auth (login, register, refresh)
+        // - Não tem refresh token disponível
+        if (!isUnauthorized || isRetry || isAuthRoute) {
+            return handleAxiosError(error);
+        }
+        const refreshToken = client.getRefreshToken();
+        if (!refreshToken) {
+            // Sem refresh token, limpa sessão e propaga erro
+            client.clearSession();
+            return handleAxiosError(error);
+        }
+        // Se já está fazendo refresh, aguarda na fila
+        if (isRefreshing) {
+            return new Promise((resolve, reject) => {
+                failedQueue.push({ resolve, reject });
+            })
+                .then((token) => {
+                originalRequest.headers.Authorization = `Bearer ${token}`;
+                return http(originalRequest);
+            })
+                .catch((err) => handleAxiosError(err));
+        }
+        // Marca como retry e inicia refresh
+        originalRequest._retry = true;
+        isRefreshing = true;
+        try {
+            // Chama endpoint de refresh diretamente (sem interceptor)
+            const { data } = await axios.post(`${client.apiUrl}/v1/auth/refresh`, { refreshToken }, { headers: { "Content-Type": "application/json" } });
+            const newAccessToken = data.accessToken;
+            const newRefreshToken = data.refreshToken;
+            // Atualiza tokens no client (persiste no localStorage)
+            client.setToken(newAccessToken);
+            if (newRefreshToken) {
+                client.setRefreshToken(newRefreshToken);
+            }
+            // Processa fila de requisições pendentes
+            processQueue(null, newAccessToken);
+            // Refaz a requisição original com novo token
+            originalRequest.headers.Authorization = `Bearer ${newAccessToken}`;
+            return http(originalRequest);
+        }
+        catch (refreshError) {
+            // Refresh falhou - sessão expirada
+            processQueue(refreshError, null);
+            client.clearSession();
+            // Emite evento de sessão expirada (se houver listener)
+            if (typeof window !== "undefined") {
+                window.dispatchEvent(new CustomEvent("aether:session-expired"));
+            }
+            return handleAxiosError(refreshError);
+        }
+        finally {
+            isRefreshing = false;
+        }
+    });
     return http;
 }

package/dist/index.d.ts

@@ -4,6 +4,7 @@ import { DatabaseModule } from "./database.js";
 import { StorageModule } from "./storage.js";
 import { FunctionsModule } from "./functions.js";
 import { PushModule } from "./push.js";
+import { TenantAuthModule } from "./tenant-auth.js";
 /**
  * Configuração usada para criar o cliente principal da plataforma.
  */
@@ -24,6 +25,7 @@ export declare class PlataformaClient {
     storage: StorageModule;
     functions: FunctionsModule;
     push: PushModule;
+    tenantAuth: TenantAuthModule;
     database: DatabaseModule;
     apiUrl: string;
     projectId: string;
@@ -76,3 +78,4 @@ export { AetherError } from "./errors.js";
 export type { LoginResponse, Session, User } from "./auth.js";
 export type { ListOptions } from "./database.js";
 export type { PushPlatform, PushEnvironment, PushDevice, RegisterDeviceParams, SendPushResponse, PushStatus, PushLogEntry, ListPushLogsOptions, PushStats, } from "./push.js";
+export type { TenantUser, TenantLoginResponse, TenantRegisterCredentials, TenantLoginCredentials, } from "./tenant-auth.js";

package/dist/index.js

@@ -4,6 +4,7 @@ import { DatabaseModule } from "./database.js";
 import { StorageModule } from "./storage.js";
 import { FunctionsModule } from "./functions.js";
 import { PushModule } from "./push.js";
+import { TenantAuthModule } from "./tenant-auth.js";
 // =============================================================================
 // CONSTANTES DE STORAGE
 // Chaves padronizadas para localStorage - evita conflito com outros SDKs
@@ -44,6 +45,7 @@ export class PlataformaClient {
         this.storage = new StorageModule(this, this.http);
         this.functions = new FunctionsModule(this, this.http);
         this.push = new PushModule(this, this.http);
+        this.tenantAuth = new TenantAuthModule(this, this.http);
         // Cria o alias que o Showcase App espera
         this.database = this.db;
     }

package/dist/tenant-auth.d.ts

@@ -0,0 +1,172 @@
+import type { AxiosInstance } from "axios";
+import type { PlataformaClient } from "./index.js";
+/**
+ * Representa um usuário tenant (end-user de um projeto)
+ */
+export interface TenantUser {
+    id: string;
+    email: string;
+    name: string;
+    data: Record<string, any>;
+    emailVerified: boolean;
+    status: "active" | "suspended" | string;
+    createdAt: string;
+}
+/**
+ * Resposta de login do tenant
+ */
+export interface TenantLoginResponse {
+    accessToken: string;
+    user: TenantUser;
+}
+/**
+ * Credenciais para registro de tenant
+ */
+export interface TenantRegisterCredentials {
+    email: string;
+    password: string;
+    name?: string;
+    data?: Record<string, any>;
+}
+/**
+ * Credenciais para login de tenant
+ */
+export interface TenantLoginCredentials {
+    email: string;
+    password: string;
+}
+/**
+ * Módulo de Autenticação de Tenants
+ *
+ * Permite que usuários finais (clientes) de projetos Aether
+ * se registrem, façam login e gerenciem seus perfis.
+ *
+ * Os dados são isolados por projeto (tabela prj_{id}_users).
+ *
+ * @example
+ * ```typescript
+ * const aether = new PlataformaClient({ ... });
+ *
+ * // Registrar usuário no projeto
+ * const { user, error } = await aether.tenantAuth.signUp('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ *   name: 'John Doe',
+ * });
+ *
+ * // Login
+ * const { accessToken, user } = await aether.tenantAuth.signIn('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ * });
+ *
+ * // Obter perfil
+ * const profile = await aether.tenantAuth.getProfile('project-id');
+ * ```
+ */
+export declare class TenantAuthModule {
+    private client;
+    private http;
+    private currentToken;
+    private currentUser;
+    constructor(client: PlataformaClient, http: AxiosInstance);
+    /**
+     * Registra um novo usuário tenant no projeto.
+     * A tabela de usuários é criada automaticamente se não existir.
+     *
+     * @param projectId - ID do projeto
+     * @param credentials - Email, senha, nome e dados opcionais
+     */
+    register(projectId: string, credentials: TenantRegisterCredentials): Promise<{
+        user: TenantUser;
+        message: string;
+    }>;
+    /**
+     * Realiza login de usuário tenant.
+     * Armazena o token para uso em requisições subsequentes.
+     *
+     * @param projectId - ID do projeto
+     * @param credentials - Email e senha
+     */
+    login(projectId: string, credentials: TenantLoginCredentials): Promise<TenantLoginResponse>;
+    /**
+     * Solicita reset de senha.
+     * Retorna mensagem genérica para prevenir enumeração de usuários.
+     *
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     */
+    forgotPassword(projectId: string, email: string): Promise<{
+        message: string;
+    }>;
+    /**
+     * Redefine a senha usando o token recebido por email.
+     *
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     * @param token - Token de reset (recebido por email)
+     * @param newPassword - Nova senha
+     */
+    resetPassword(projectId: string, email: string, token: string, newPassword: string): Promise<{
+        message: string;
+    }>;
+    /**
+     * Obtém o perfil do usuário autenticado.
+     * Requer que login() tenha sido chamado antes.
+     *
+     * @param projectId - ID do projeto (opcional, usa do token se não fornecido)
+     */
+    getProfile(projectId?: string): Promise<TenantUser>;
+    /**
+     * Atualiza o perfil do usuário autenticado.
+     *
+     * @param projectId - ID do projeto
+     * @param updates - Campos a atualizar (name, data)
+     */
+    updateProfile(projectId: string, updates: {
+        name?: string;
+        data?: Record<string, any>;
+    }): Promise<{
+        user: TenantUser;
+        message: string;
+    }>;
+    /**
+     * Faz logout do tenant (limpa token local).
+     */
+    logout(): void;
+    /**
+     * Alias para register com retorno { user, error }
+     */
+    signUp(projectId: string, credentials: TenantRegisterCredentials): Promise<{
+        user: TenantUser | null;
+        error: string | null;
+    }>;
+    /**
+     * Alias para login com retorno { user, accessToken, error }
+     */
+    signIn(projectId: string, credentials: TenantLoginCredentials): Promise<{
+        user: TenantUser | null;
+        accessToken: string | null;
+        error: string | null;
+    }>;
+    /**
+     * Alias para logout
+     */
+    signOut(): void;
+    /**
+     * Retorna o token atual do tenant
+     */
+    getToken(): string | null;
+    /**
+     * Define o token do tenant (útil para restaurar sessão)
+     */
+    setToken(token: string | null): void;
+    /**
+     * Retorna o usuário atual do tenant
+     */
+    getCurrentUser(): TenantUser | null;
+    /**
+     * Verifica se há um usuário autenticado
+     */
+    isAuthenticated(): boolean;
+}

package/dist/tenant-auth.js

@@ -0,0 +1,221 @@
+// src/tenant-auth.ts
+// [FEATURE] Módulo de Autenticação de Tenants para SDK
+// Permite autenticação de end-users em projetos Aether
+// Compatible with Firebase Auth-style usage
+// ============================================================================
+// MODULE
+// ============================================================================
+/**
+ * Módulo de Autenticação de Tenants
+ *
+ * Permite que usuários finais (clientes) de projetos Aether
+ * se registrem, façam login e gerenciem seus perfis.
+ *
+ * Os dados são isolados por projeto (tabela prj_{id}_users).
+ *
+ * @example
+ * ```typescript
+ * const aether = new PlataformaClient({ ... });
+ *
+ * // Registrar usuário no projeto
+ * const { user, error } = await aether.tenantAuth.signUp('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ *   name: 'John Doe',
+ * });
+ *
+ * // Login
+ * const { accessToken, user } = await aether.tenantAuth.signIn('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ * });
+ *
+ * // Obter perfil
+ * const profile = await aether.tenantAuth.getProfile('project-id');
+ * ```
+ */
+export class TenantAuthModule {
+    constructor(client, http) {
+        // Armazena o token do tenant atual em memória
+        this.currentToken = null;
+        this.currentUser = null;
+        this.client = client;
+        this.http = http;
+    }
+    // ==========================================================================
+    // MÉTODOS PRINCIPAIS
+    // ==========================================================================
+    /**
+     * Registra um novo usuário tenant no projeto.
+     * A tabela de usuários é criada automaticamente se não existir.
+     *
+     * @param projectId - ID do projeto
+     * @param credentials - Email, senha, nome e dados opcionais
+     */
+    async register(projectId, credentials) {
+        const { data } = await this.http.post("/auth/tenant/register", {
+            projectId,
+            ...credentials,
+        });
+        return data;
+    }
+    /**
+     * Realiza login de usuário tenant.
+     * Armazena o token para uso em requisições subsequentes.
+     *
+     * @param projectId - ID do projeto
+     * @param credentials - Email e senha
+     */
+    async login(projectId, credentials) {
+        const { data } = await this.http.post("/auth/tenant/login", {
+            projectId,
+            ...credentials,
+        });
+        // Armazena token e usuário
+        this.currentToken = data.accessToken;
+        this.currentUser = data.user;
+        return data;
+    }
+    /**
+     * Solicita reset de senha.
+     * Retorna mensagem genérica para prevenir enumeração de usuários.
+     *
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     */
+    async forgotPassword(projectId, email) {
+        const { data } = await this.http.post("/auth/tenant/forgot-password", {
+            projectId,
+            email,
+        });
+        return data;
+    }
+    /**
+     * Redefine a senha usando o token recebido por email.
+     *
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     * @param token - Token de reset (recebido por email)
+     * @param newPassword - Nova senha
+     */
+    async resetPassword(projectId, email, token, newPassword) {
+        const { data } = await this.http.post("/auth/tenant/reset-password", {
+            projectId,
+            email,
+            token,
+            newPassword,
+        });
+        return data;
+    }
+    /**
+     * Obtém o perfil do usuário autenticado.
+     * Requer que login() tenha sido chamado antes.
+     *
+     * @param projectId - ID do projeto (opcional, usa do token se não fornecido)
+     */
+    async getProfile(projectId) {
+        const headers = this.currentToken
+            ? { Authorization: `Bearer ${this.currentToken}` }
+            : {};
+        const { data } = await this.http.get("/auth/tenant/me", { headers });
+        this.currentUser = data.user;
+        return data.user;
+    }
+    /**
+     * Atualiza o perfil do usuário autenticado.
+     *
+     * @param projectId - ID do projeto
+     * @param updates - Campos a atualizar (name, data)
+     */
+    async updateProfile(projectId, updates) {
+        const headers = this.currentToken
+            ? { Authorization: `Bearer ${this.currentToken}` }
+            : {};
+        const { data } = await this.http.put("/auth/tenant/profile", {
+            projectId,
+            ...updates,
+        }, { headers });
+        this.currentUser = data.user;
+        return data;
+    }
+    /**
+     * Faz logout do tenant (limpa token local).
+     */
+    logout() {
+        this.currentToken = null;
+        this.currentUser = null;
+    }
+    // ==========================================================================
+    // MÉTODOS ESTILO SUPABASE/FIREBASE
+    // ==========================================================================
+    /**
+     * Alias para register com retorno { user, error }
+     */
+    async signUp(projectId, credentials) {
+        try {
+            const { user } = await this.register(projectId, credentials);
+            return { user, error: null };
+        }
+        catch (err) {
+            const axiosError = err;
+            return {
+                user: null,
+                error: axiosError.response?.data?.error ||
+                    axiosError.response?.data?.message ||
+                    err.message,
+            };
+        }
+    }
+    /**
+     * Alias para login com retorno { user, accessToken, error }
+     */
+    async signIn(projectId, credentials) {
+        try {
+            const { user, accessToken } = await this.login(projectId, credentials);
+            return { user, accessToken, error: null };
+        }
+        catch (err) {
+            const axiosError = err;
+            return {
+                user: null,
+                accessToken: null,
+                error: axiosError.response?.data?.error ||
+                    axiosError.response?.data?.message ||
+                    err.message,
+            };
+        }
+    }
+    /**
+     * Alias para logout
+     */
+    signOut() {
+        this.logout();
+    }
+    // ==========================================================================
+    // ACCESSORS
+    // ==========================================================================
+    /**
+     * Retorna o token atual do tenant
+     */
+    getToken() {
+        return this.currentToken;
+    }
+    /**
+     * Define o token do tenant (útil para restaurar sessão)
+     */
+    setToken(token) {
+        this.currentToken = token;
+    }
+    /**
+     * Retorna o usuário atual do tenant
+     */
+    getCurrentUser() {
+        return this.currentUser;
+    }
+    /**
+     * Verifica se há um usuário autenticado
+     */
+    isAuthenticated() {
+        return this.currentToken !== null;
+    }
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@allanfsouza/aether-sdk",
-  "version": "2.4.5",
+  "version": "2.4.7",
   "description": "SDK do Cliente para a Plataforma Aether",
   "main": "dist/index.js",
   "types": "dist/index.d.ts",

package/src/http-client.ts

@@ -1,23 +1,53 @@
 // src/http-client.ts
-import axios, { type AxiosInstance } from "axios";
+import axios, {
+  type AxiosInstance,
+  type AxiosError,
+  type InternalAxiosRequestConfig,
+} from "axios";
 import type { PlataformaClient } from "./index.js";
 import { handleAxiosError } from "./errors.js";
 
+// Flag para evitar múltiplos refreshes simultâneos
+let isRefreshing = false;
+
+// Fila de requisições aguardando o refresh
+let failedQueue: Array<{
+  resolve: (token: string) => void;
+  reject: (error: any) => void;
+}> = [];
+
+/**
+ * Processa a fila de requisições após o refresh.
+ */
+const processQueue = (error: any, token: string | null = null) => {
+  failedQueue.forEach((prom) => {
+    if (error) {
+      prom.reject(error);
+    } else {
+      prom.resolve(token!);
+    }
+  });
+  failedQueue = [];
+};
+
 /**
  * Cria uma instância do Axios pré-configurada.
  * - Injeta automaticamente headers de Auth e Projeto.
+ * - Renova token automaticamente quando expira (401).
  * - Converte erros em AetherError.
  */
 export function createHttpClient(client: PlataformaClient): AxiosInstance {
   const http = axios.create({
-    // Adiciona o /v1 automaticamente em todas as chamadas do SDK
     baseURL: `${client.apiUrl}/v1`,
     headers: {
       "Content-Type": "application/json",
     },
   });
 
-  // Interceptor de REQUEST
+  // ===========================================================================
+  // INTERCEPTOR DE REQUEST
+  // Injeta token e projectId em todas as requisições
+  // ===========================================================================
   http.interceptors.request.use((config) => {
     const token = client.getToken();
     if (token) {
@@ -31,10 +61,92 @@ export function createHttpClient(client: PlataformaClient): AxiosInstance {
     return config;
   });
 
-  // Interceptor de RESPONSE
+  // ===========================================================================
+  // INTERCEPTOR DE RESPONSE
+  // Detecta 401 e tenta refresh automático do token
+  // ===========================================================================
   http.interceptors.response.use(
     (response) => response,
-    (error) => handleAxiosError(error)
+    async (error: AxiosError) => {
+      const originalRequest = error.config as InternalAxiosRequestConfig & {
+        _retry?: boolean;
+      };
+
+      // Verifica se é erro 401 (não autorizado) e não é retry
+      const isUnauthorized = error.response?.status === 401;
+      const isRetry = originalRequest?._retry;
+      const isAuthRoute = originalRequest?.url?.includes("/auth/");
+
+      // Não tenta refresh se:
+      // - Não é 401
+      // - Já é um retry
+      // - É uma rota de auth (login, register, refresh)
+      // - Não tem refresh token disponível
+      if (!isUnauthorized || isRetry || isAuthRoute) {
+        return handleAxiosError(error);
+      }
+
+      const refreshToken = client.getRefreshToken();
+      if (!refreshToken) {
+        // Sem refresh token, limpa sessão e propaga erro
+        client.clearSession();
+        return handleAxiosError(error);
+      }
+
+      // Se já está fazendo refresh, aguarda na fila
+      if (isRefreshing) {
+        return new Promise((resolve, reject) => {
+          failedQueue.push({ resolve, reject });
+        })
+          .then((token) => {
+            originalRequest.headers.Authorization = `Bearer ${token}`;
+            return http(originalRequest);
+          })
+          .catch((err) => handleAxiosError(err));
+      }
+
+      // Marca como retry e inicia refresh
+      originalRequest._retry = true;
+      isRefreshing = true;
+
+      try {
+        // Chama endpoint de refresh diretamente (sem interceptor)
+        const { data } = await axios.post(
+          `${client.apiUrl}/v1/auth/refresh`,
+          { refreshToken },
+          { headers: { "Content-Type": "application/json" } }
+        );
+
+        const newAccessToken = data.accessToken;
+        const newRefreshToken = data.refreshToken;
+
+        // Atualiza tokens no client (persiste no localStorage)
+        client.setToken(newAccessToken);
+        if (newRefreshToken) {
+          client.setRefreshToken(newRefreshToken);
+        }
+
+        // Processa fila de requisições pendentes
+        processQueue(null, newAccessToken);
+
+        // Refaz a requisição original com novo token
+        originalRequest.headers.Authorization = `Bearer ${newAccessToken}`;
+        return http(originalRequest);
+      } catch (refreshError: any) {
+        // Refresh falhou - sessão expirada
+        processQueue(refreshError, null);
+        client.clearSession();
+
+        // Emite evento de sessão expirada (se houver listener)
+        if (typeof window !== "undefined") {
+          window.dispatchEvent(new CustomEvent("aether:session-expired"));
+        }
+
+        return handleAxiosError(refreshError);
+      } finally {
+        isRefreshing = false;
+      }
+    }
   );
 
   return http;

package/src/index.ts

@@ -6,6 +6,7 @@ import { DatabaseModule } from "./database.js";
 import { StorageModule } from "./storage.js";
 import { FunctionsModule } from "./functions.js";
 import { PushModule } from "./push.js";
+import { TenantAuthModule, TenantUser, TenantLoginResponse, TenantRegisterCredentials, TenantLoginCredentials } from "./tenant-auth.js";
 
 // =============================================================================
 // CONSTANTES DE STORAGE
@@ -51,6 +52,7 @@ export class PlataformaClient {
   public storage: StorageModule;
   public functions: FunctionsModule;
   public push: PushModule;
+  public tenantAuth: TenantAuthModule;
 
   // Alias para 'db' que o showcase tenta usar como 'database'
   public database: DatabaseModule;
@@ -90,6 +92,7 @@ export class PlataformaClient {
     this.storage = new StorageModule(this, this.http);
     this.functions = new FunctionsModule(this, this.http);
     this.push = new PushModule(this, this.http);
+    this.tenantAuth = new TenantAuthModule(this, this.http);
 
     // Cria o alias que o Showcase App espera
     this.database = this.db;
@@ -241,4 +244,10 @@ export type {
   PushLogEntry,
   ListPushLogsOptions,
   PushStats,
-} from "./push.js";
+} from "./push.js";
+export type {
+  TenantUser,
+  TenantLoginResponse,
+  TenantRegisterCredentials,
+  TenantLoginCredentials,
+} from "./tenant-auth.js";

package/src/tenant-auth.ts

@@ -0,0 +1,333 @@
+// src/tenant-auth.ts
+// [FEATURE] Módulo de Autenticação de Tenants para SDK
+// Permite autenticação de end-users em projetos Aether
+// Compatible with Firebase Auth-style usage
+
+import type { AxiosInstance, AxiosError } from "axios";
+import type { PlataformaClient } from "./index.js";
+
+// ============================================================================
+// TYPES
+// ============================================================================
+
+/**
+ * Representa um usuário tenant (end-user de um projeto)
+ */
+export interface TenantUser {
+    id: string;
+    email: string;
+    name: string;
+    data: Record<string, any>;
+    emailVerified: boolean;
+    status: "active" | "suspended" | string;
+    createdAt: string;
+}
+
+/**
+ * Resposta de login do tenant
+ */
+export interface TenantLoginResponse {
+    accessToken: string;
+    user: TenantUser;
+}
+
+/**
+ * Credenciais para registro de tenant
+ */
+export interface TenantRegisterCredentials {
+    email: string;
+    password: string;
+    name?: string;
+    data?: Record<string, any>;
+}
+
+/**
+ * Credenciais para login de tenant
+ */
+export interface TenantLoginCredentials {
+    email: string;
+    password: string;
+}
+
+// ============================================================================
+// MODULE
+// ============================================================================
+
+/**
+ * Módulo de Autenticação de Tenants
+ * 
+ * Permite que usuários finais (clientes) de projetos Aether
+ * se registrem, façam login e gerenciem seus perfis.
+ * 
+ * Os dados são isolados por projeto (tabela prj_{id}_users).
+ * 
+ * @example
+ * ```typescript
+ * const aether = new PlataformaClient({ ... });
+ * 
+ * // Registrar usuário no projeto
+ * const { user, error } = await aether.tenantAuth.signUp('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ *   name: 'John Doe',
+ * });
+ * 
+ * // Login
+ * const { accessToken, user } = await aether.tenantAuth.signIn('project-id', {
+ *   email: 'user@example.com',
+ *   password: '123456',
+ * });
+ * 
+ * // Obter perfil
+ * const profile = await aether.tenantAuth.getProfile('project-id');
+ * ```
+ */
+export class TenantAuthModule {
+    private client: PlataformaClient;
+    private http: AxiosInstance;
+
+    // Armazena o token do tenant atual em memória
+    private currentToken: string | null = null;
+    private currentUser: TenantUser | null = null;
+
+    constructor(client: PlataformaClient, http: AxiosInstance) {
+        this.client = client;
+        this.http = http;
+    }
+
+    // ==========================================================================
+    // MÉTODOS PRINCIPAIS
+    // ==========================================================================
+
+    /**
+     * Registra um novo usuário tenant no projeto.
+     * A tabela de usuários é criada automaticamente se não existir.
+     * 
+     * @param projectId - ID do projeto
+     * @param credentials - Email, senha, nome e dados opcionais
+     */
+    async register(
+        projectId: string,
+        credentials: TenantRegisterCredentials
+    ): Promise<{ user: TenantUser; message: string }> {
+        const { data } = await this.http.post("/auth/tenant/register", {
+            projectId,
+            ...credentials,
+        });
+        return data;
+    }
+
+    /**
+     * Realiza login de usuário tenant.
+     * Armazena o token para uso em requisições subsequentes.
+     * 
+     * @param projectId - ID do projeto
+     * @param credentials - Email e senha
+     */
+    async login(
+        projectId: string,
+        credentials: TenantLoginCredentials
+    ): Promise<TenantLoginResponse> {
+        const { data } = await this.http.post<TenantLoginResponse>(
+            "/auth/tenant/login",
+            {
+                projectId,
+                ...credentials,
+            }
+        );
+
+        // Armazena token e usuário
+        this.currentToken = data.accessToken;
+        this.currentUser = data.user;
+
+        return data;
+    }
+
+    /**
+     * Solicita reset de senha.
+     * Retorna mensagem genérica para prevenir enumeração de usuários.
+     * 
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     */
+    async forgotPassword(
+        projectId: string,
+        email: string
+    ): Promise<{ message: string }> {
+        const { data } = await this.http.post("/auth/tenant/forgot-password", {
+            projectId,
+            email,
+        });
+        return data;
+    }
+
+    /**
+     * Redefine a senha usando o token recebido por email.
+     * 
+     * @param projectId - ID do projeto
+     * @param email - Email do usuário
+     * @param token - Token de reset (recebido por email)
+     * @param newPassword - Nova senha
+     */
+    async resetPassword(
+        projectId: string,
+        email: string,
+        token: string,
+        newPassword: string
+    ): Promise<{ message: string }> {
+        const { data } = await this.http.post("/auth/tenant/reset-password", {
+            projectId,
+            email,
+            token,
+            newPassword,
+        });
+        return data;
+    }
+
+    /**
+     * Obtém o perfil do usuário autenticado.
+     * Requer que login() tenha sido chamado antes.
+     * 
+     * @param projectId - ID do projeto (opcional, usa do token se não fornecido)
+     */
+    async getProfile(projectId?: string): Promise<TenantUser> {
+        const headers = this.currentToken
+            ? { Authorization: `Bearer ${this.currentToken}` }
+            : {};
+
+        const { data } = await this.http.get<{ user: TenantUser }>(
+            "/auth/tenant/me",
+            { headers }
+        );
+
+        this.currentUser = data.user;
+        return data.user;
+    }
+
+    /**
+     * Atualiza o perfil do usuário autenticado.
+     * 
+     * @param projectId - ID do projeto
+     * @param updates - Campos a atualizar (name, data)
+     */
+    async updateProfile(
+        projectId: string,
+        updates: { name?: string; data?: Record<string, any> }
+    ): Promise<{ user: TenantUser; message: string }> {
+        const headers = this.currentToken
+            ? { Authorization: `Bearer ${this.currentToken}` }
+            : {};
+
+        const { data } = await this.http.put(
+            "/auth/tenant/profile",
+            {
+                projectId,
+                ...updates,
+            },
+            { headers }
+        );
+
+        this.currentUser = data.user;
+        return data;
+    }
+
+    /**
+     * Faz logout do tenant (limpa token local).
+     */
+    logout(): void {
+        this.currentToken = null;
+        this.currentUser = null;
+    }
+
+    // ==========================================================================
+    // MÉTODOS ESTILO SUPABASE/FIREBASE
+    // ==========================================================================
+
+    /**
+     * Alias para register com retorno { user, error }
+     */
+    async signUp(
+        projectId: string,
+        credentials: TenantRegisterCredentials
+    ): Promise<{ user: TenantUser | null; error: string | null }> {
+        try {
+            const { user } = await this.register(projectId, credentials);
+            return { user, error: null };
+        } catch (err: any) {
+            const axiosError = err as AxiosError<{ error?: string; message?: string }>;
+            return {
+                user: null,
+                error:
+                    axiosError.response?.data?.error ||
+                    axiosError.response?.data?.message ||
+                    err.message,
+            };
+        }
+    }
+
+    /**
+     * Alias para login com retorno { user, accessToken, error }
+     */
+    async signIn(
+        projectId: string,
+        credentials: TenantLoginCredentials
+    ): Promise<{
+        user: TenantUser | null;
+        accessToken: string | null;
+        error: string | null;
+    }> {
+        try {
+            const { user, accessToken } = await this.login(projectId, credentials);
+            return { user, accessToken, error: null };
+        } catch (err: any) {
+            const axiosError = err as AxiosError<{ error?: string; message?: string }>;
+            return {
+                user: null,
+                accessToken: null,
+                error:
+                    axiosError.response?.data?.error ||
+                    axiosError.response?.data?.message ||
+                    err.message,
+            };
+        }
+    }
+
+    /**
+     * Alias para logout
+     */
+    signOut(): void {
+        this.logout();
+    }
+
+    // ==========================================================================
+    // ACCESSORS
+    // ==========================================================================
+
+    /**
+     * Retorna o token atual do tenant
+     */
+    getToken(): string | null {
+        return this.currentToken;
+    }
+
+    /**
+     * Define o token do tenant (útil para restaurar sessão)
+     */
+    setToken(token: string | null): void {
+        this.currentToken = token;
+    }
+
+    /**
+     * Retorna o usuário atual do tenant
+     */
+    getCurrentUser(): TenantUser | null {
+        return this.currentUser;
+    }
+
+    /**
+     * Verifica se há um usuário autenticado
+     */
+    isAuthenticated(): boolean {
+        return this.currentToken !== null;
+    }
+}