@authrim/setup 0.1.141 → 0.1.142

package/dist/web/ui.js.map

@@ -1 +1 @@
-{"version":3,"file":"ui.js","sourceRoot":"","sources":["../../src/web/ui.ts"],"names":[],"mappings":"AAAA;;;;;GAKG;AAIH,MAAM,UAAU,eAAe,CAC7B,YAAqB,EACrB,UAAoB,EACpB,SAAiB,IAAI,EACrB,eAAuC,EAAE,EACzC,mBAAiC,EAAE;IAEnC,gDAAgD;IAChD,MAAM,SAAS,GAAG,YAAY,CAAC,CAAC,CAAC,YAAY,CAAC,OAAO,CAAC,SAAS,EAAE,EAAE,CAAC,CAAC,CAAC,CAAC,EAAE,CAAC;IAC1E,MAAM,cAAc,GAAG,UAAU,CAAC,CAAC,CAAC,MAAM,CAAC,CAAC,CAAC,OAAO,CAAC;IAErD,4DAA4D;IAC5D,MAAM,gBAAgB,GAAG,IAAI,CAAC,SAAS,CAAC,YAAY,CAAC,CAAC;IACtD,MAAM,oBAAoB,GAAG,IAAI,CAAC,SAAS,CAAC,gBAAgB,CAAC,CAAC;IAE9D,2CAA2C;IAC3C,MAAM,iBAAiB,GAAG,gBAAgB;SACvC,GAAG,CACF,CAAC,CAAC,EAAE,EAAE,CACJ,kBAAkB,CAAC,CAAC,IAAI,IAAI,CAAC,CAAC,IAAI,KAAK,MAAM,CAAC,CAAC,CAAC,WAAW,CAAC,CAAC,CAAC,EAAE,IAAI,CAAC,CAAC,UAAU,WAAW,CAC9F;SACA,IAAI,CAAC,EAAE,CAAC,CAAC;IAEZ,OAAO;cACK,MAAM;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;0BAqpDM,gBAAgB;gCACV,oBAAoB;4BACxB,MAAM;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;UAiIxB,iBAAiB;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;6BA2gCE,SAAS;0BACZ,cAAc;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;QAukFhC,CAAC;AACT,CAAC"}
+{"version":3,"file":"ui.js","sourceRoot":"","sources":["../../src/web/ui.ts"],"names":[],"mappings":"AAAA;;;;;GAKG;AAIH,MAAM,UAAU,eAAe,CAC7B,YAAqB,EACrB,UAAoB,EACpB,SAAiB,IAAI,EACrB,eAAuC,EAAE,EACzC,mBAAiC,EAAE;IAEnC,gDAAgD;IAChD,MAAM,SAAS,GAAG,YAAY,CAAC,CAAC,CAAC,YAAY,CAAC,OAAO,CAAC,SAAS,EAAE,EAAE,CAAC,CAAC,CAAC,CAAC,EAAE,CAAC;IAC1E,MAAM,cAAc,GAAG,UAAU,CAAC,CAAC,CAAC,MAAM,CAAC,CAAC,CAAC,OAAO,CAAC;IAErD,4DAA4D;IAC5D,MAAM,gBAAgB,GAAG,IAAI,CAAC,SAAS,CAAC,YAAY,CAAC,CAAC;IACtD,MAAM,oBAAoB,GAAG,IAAI,CAAC,SAAS,CAAC,gBAAgB,CAAC,CAAC;IAE9D,2CAA2C;IAC3C,MAAM,iBAAiB,GAAG,gBAAgB;SACvC,GAAG,CACF,CAAC,CAAC,EAAE,EAAE,CACJ,kBAAkB,CAAC,CAAC,IAAI,IAAI,CAAC,CAAC,IAAI,KAAK,MAAM,CAAC,CAAC,CAAC,WAAW,CAAC,CAAC,CAAC,EAAE,IAAI,CAAC,CAAC,UAAU,WAAW,CAC9F;SACA,IAAI,CAAC,EAAE,CAAC,CAAC;IAEZ,OAAO;cACK,MAAM;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;0BAqpDM,gBAAgB;gCACV,oBAAoB;4BACxB,MAAM;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;UAiIxB,iBAAiB;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;6BA+iCE,SAAS;0BACZ,cAAc;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;QAg7FhC,CAAC;AACT,CAAC"}

package/migrations/000_fresh_schema.sql

@@ -198,6 +198,23 @@ CREATE TABLE "ciba_requests" (
   FOREIGN KEY (user_id) REFERENCES users_core(id) ON DELETE CASCADE
 );
 
+CREATE TABLE client_consent_overrides (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  client_id TEXT NOT NULL,
+  statement_id TEXT NOT NULL,
+  requirement TEXT NOT NULL DEFAULT 'inherit', -- 'required'|'optional'|'hidden'|'inherit'
+  min_version TEXT,                      -- null = use tenant default
+  enforcement TEXT,                      -- null = use tenant default
+  conditional_rules_json TEXT,           -- null = use tenant default
+  display_order INTEGER,
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  FOREIGN KEY (client_id) REFERENCES oauth_clients(client_id) ON DELETE CASCADE,
+  FOREIGN KEY (statement_id) REFERENCES consent_statements(id) ON DELETE CASCADE,
+  UNIQUE (tenant_id, client_id, statement_id)
+);
+
 CREATE TABLE compliance_reports (
   id TEXT PRIMARY KEY,
   tenant_id TEXT NOT NULL DEFAULT 'default',
@@ -230,6 +247,24 @@ CREATE TABLE consent_history (
   FOREIGN KEY (user_id) REFERENCES users_core(id) ON DELETE CASCADE
 );
 
+CREATE TABLE consent_item_history (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  user_id TEXT NOT NULL,
+  statement_id TEXT NOT NULL,
+  action TEXT NOT NULL,                  -- 'granted'|'denied'|'withdrawn'|'version_upgraded'|'expired'
+  version_before TEXT,
+  version_after TEXT,
+  status_before TEXT,
+  status_after TEXT,
+  ip_address_hash TEXT,
+  user_agent TEXT,
+  client_id TEXT,
+  metadata_json TEXT,
+  created_at INTEGER NOT NULL,
+  FOREIGN KEY (user_id) REFERENCES users_core(id) ON DELETE CASCADE
+);
+
 CREATE TABLE consent_policy_versions (
   id TEXT PRIMARY KEY,
   tenant_id TEXT NOT NULL DEFAULT 'default',
@@ -242,6 +277,51 @@ CREATE TABLE consent_policy_versions (
   UNIQUE (tenant_id, policy_type, version)
 );
 
+CREATE TABLE consent_statement_localizations (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  version_id TEXT NOT NULL,
+  language TEXT NOT NULL,                -- BCP 47: 'en', 'ja', 'de'
+  title TEXT NOT NULL,
+  description TEXT NOT NULL,
+  document_url TEXT,                     -- External document URL (content_type='url')
+  inline_content TEXT,                   -- Inline text (content_type='inline')
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  FOREIGN KEY (version_id) REFERENCES consent_statement_versions(id) ON DELETE CASCADE,
+  UNIQUE (version_id, language)
+);
+
+CREATE TABLE consent_statement_versions (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  statement_id TEXT NOT NULL,
+  version TEXT NOT NULL,                 -- YYYYMMDD fixed: '20250206'
+  content_type TEXT NOT NULL DEFAULT 'url', -- 'url' | 'inline'
+  effective_at INTEGER NOT NULL,
+  content_hash TEXT,                     -- SHA-256 integrity hash
+  is_current INTEGER NOT NULL DEFAULT 0,
+  status TEXT NOT NULL DEFAULT 'draft',  -- 'draft'|'active'|'archived'
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  FOREIGN KEY (statement_id) REFERENCES consent_statements(id) ON DELETE CASCADE,
+  UNIQUE (tenant_id, statement_id, version)
+);
+
+CREATE TABLE consent_statements (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  slug TEXT NOT NULL,
+  category TEXT NOT NULL DEFAULT 'custom',
+  legal_basis TEXT NOT NULL DEFAULT 'consent',
+  processing_purpose TEXT,
+  display_order INTEGER NOT NULL DEFAULT 0,
+  is_active INTEGER NOT NULL DEFAULT 1,
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  UNIQUE (tenant_id, slug)
+);
+
 CREATE TABLE credential_configurations (
     id TEXT PRIMARY KEY,
     tenant_id TEXT NOT NULL,
@@ -335,10 +415,13 @@ CREATE TABLE did_document_cache (
 CREATE TABLE external_idp_auth_states (
   id TEXT PRIMARY KEY,
   tenant_id TEXT NOT NULL DEFAULT 'default',
+  client_id TEXT,                        -- Client ID from the original auth request
   provider_id TEXT NOT NULL,             -- References upstream_providers(id)
   state TEXT UNIQUE NOT NULL,            -- OAuth state parameter
   nonce TEXT,                            -- OIDC nonce for ID token validation
-  code_verifier TEXT,                    -- PKCE code verifier
+  code_verifier TEXT,                    -- PKCE code verifier for Authrim ↔ External IdP
+  code_challenge TEXT,                   -- PKCE code challenge from client ↔ Authrim
+  flow_id TEXT,                          -- Flow ID for diagnostic logging correlation
   redirect_uri TEXT NOT NULL,            -- Where to redirect after auth
 
   -- For linking flow
@@ -352,6 +435,10 @@ CREATE TABLE external_idp_auth_states (
   max_age INTEGER,                       -- max_age parameter for auth_time validation
   acr_values TEXT,                       -- acr_values parameter for acr validation
 
+  -- Silent Auth & SSO control (Phase 1 & 2)
+  prompt TEXT,                           -- OIDC prompt parameter (none, login, consent, select_account)
+  enable_sso INTEGER NOT NULL DEFAULT 1, -- 1 = SSO enabled (handoff), 0 = SSO disabled (Direct Auth)
+
   -- Timestamps
   expires_at INTEGER NOT NULL,
   created_at INTEGER NOT NULL,
@@ -504,7 +591,7 @@ CREATE TABLE oauth_clients (
   default_audience TEXT,  -- Default audience for Client Credentials
   created_at INTEGER NOT NULL,
   updated_at INTEGER NOT NULL
-, is_trusted INTEGER DEFAULT 0, skip_consent INTEGER DEFAULT 0, allow_claims_without_scope INTEGER DEFAULT 0, backchannel_token_delivery_mode TEXT, backchannel_client_notification_endpoint TEXT, backchannel_authentication_request_signing_alg TEXT, backchannel_user_code_parameter INTEGER DEFAULT 0, tenant_id TEXT NOT NULL DEFAULT 'default', jwks TEXT, jwks_uri TEXT, userinfo_signed_response_alg TEXT, post_logout_redirect_uris TEXT, allowed_redirect_origins TEXT, backchannel_logout_uri TEXT, backchannel_logout_session_required INTEGER DEFAULT 0, frontchannel_logout_uri TEXT, frontchannel_logout_session_required INTEGER DEFAULT 0, logout_webhook_uri TEXT, logout_webhook_secret_encrypted TEXT, registration_access_token_hash TEXT, initiate_login_uri TEXT, id_token_signed_response_alg TEXT, request_object_signing_alg TEXT, client_secret_hash TEXT, software_id TEXT, software_version TEXT, requestable_scopes TEXT, require_pkce INTEGER DEFAULT 0);
+, is_trusted INTEGER DEFAULT 0, skip_consent INTEGER DEFAULT 0, allow_claims_without_scope INTEGER DEFAULT 0, backchannel_token_delivery_mode TEXT, backchannel_client_notification_endpoint TEXT, backchannel_authentication_request_signing_alg TEXT, backchannel_user_code_parameter INTEGER DEFAULT 0, tenant_id TEXT NOT NULL DEFAULT 'default', jwks TEXT, jwks_uri TEXT, userinfo_signed_response_alg TEXT, post_logout_redirect_uris TEXT, allowed_redirect_origins TEXT, backchannel_logout_uri TEXT, backchannel_logout_session_required INTEGER DEFAULT 0, frontchannel_logout_uri TEXT, frontchannel_logout_session_required INTEGER DEFAULT 0, logout_webhook_uri TEXT, logout_webhook_secret_encrypted TEXT, registration_access_token_hash TEXT, initiate_login_uri TEXT, login_ui_url TEXT, id_token_signed_response_alg TEXT, request_object_signing_alg TEXT, client_secret_hash TEXT, software_id TEXT, software_version TEXT, requestable_scopes TEXT, require_pkce INTEGER DEFAULT 0);
 
 CREATE TABLE operational_logs (
     id TEXT PRIMARY KEY,
@@ -1093,6 +1180,23 @@ CREATE TABLE suspicious_activities (
   resolved_at TEXT              -- When resolved/dismissed
 );
 
+CREATE TABLE tenant_consent_requirements (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  statement_id TEXT NOT NULL,
+  is_required INTEGER NOT NULL DEFAULT 0,
+  min_version TEXT,
+  enforcement TEXT NOT NULL DEFAULT 'block',
+  show_deletion_link INTEGER NOT NULL DEFAULT 0,
+  deletion_url TEXT,
+  conditional_rules_json TEXT,
+  display_order INTEGER NOT NULL DEFAULT 0,
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  FOREIGN KEY (statement_id) REFERENCES consent_statements(id) ON DELETE CASCADE,
+  UNIQUE (tenant_id, statement_id)
+);
+
 CREATE TABLE token_claim_rules (
   -- Primary key
   id TEXT PRIMARY KEY,
@@ -1194,7 +1298,30 @@ CREATE TABLE upstream_providers (
   -- Metadata
   created_at INTEGER NOT NULL,
   updated_at INTEGER NOT NULL
-, slug TEXT, token_endpoint_auth_method TEXT DEFAULT 'client_secret_post', always_fetch_userinfo INTEGER DEFAULT 0, use_request_object INTEGER DEFAULT 0, request_object_signing_alg TEXT, private_key_jwk_encrypted TEXT, public_key_jwk TEXT);
+, slug TEXT, token_endpoint_auth_method TEXT DEFAULT 'client_secret_post', always_fetch_userinfo INTEGER DEFAULT 0, enable_sso INTEGER NOT NULL DEFAULT 1, use_request_object INTEGER DEFAULT 0, request_object_signing_alg TEXT, private_key_jwk_encrypted TEXT, public_key_jwk TEXT);
+
+CREATE TABLE user_consent_records (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  user_id TEXT NOT NULL,
+  statement_id TEXT NOT NULL,
+  version_id TEXT NOT NULL,
+  version TEXT NOT NULL,
+  status TEXT NOT NULL DEFAULT 'granted',
+  granted_at INTEGER,
+  withdrawn_at INTEGER,
+  expires_at INTEGER,
+  client_id TEXT,
+  ip_address_hash TEXT,
+  user_agent TEXT,
+  receipt_id TEXT,
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  FOREIGN KEY (user_id) REFERENCES users_core(id) ON DELETE CASCADE,
+  FOREIGN KEY (statement_id) REFERENCES consent_statements(id),
+  FOREIGN KEY (version_id) REFERENCES consent_statement_versions(id),
+  UNIQUE (tenant_id, user_id, statement_id)
+);
 
 CREATE TABLE "user_custom_fields" (
   user_id TEXT NOT NULL,
@@ -1475,8 +1602,6 @@ CREATE INDEX idx_audit_log_created_at ON audit_log(created_at);
 
 CREATE INDEX idx_audit_log_resource ON audit_log(resource_type, resource_id);
 
-CREATE INDEX idx_audit_log_severity ON audit_log(severity);
-
 CREATE INDEX idx_audit_log_tenant_id ON audit_log(tenant_id);
 
 CREATE INDEX idx_audit_log_user_id ON audit_log(user_id);
@@ -1529,6 +1654,14 @@ CREATE INDEX idx_compliance_reports_tenant ON compliance_reports(tenant_id);
 
 CREATE INDEX idx_compliance_reports_type ON compliance_reports(tenant_id, type);
 
+CREATE INDEX idx_cco_client ON client_consent_overrides(tenant_id, client_id);
+
+CREATE INDEX idx_cih_statement ON consent_item_history(statement_id, created_at);
+
+CREATE INDEX idx_cih_tenant ON consent_item_history(tenant_id, created_at);
+
+CREATE INDEX idx_cih_user ON consent_item_history(user_id, created_at);
+
 CREATE INDEX idx_consent_history_action
   ON consent_history(action, created_at);
 
@@ -1547,6 +1680,16 @@ CREATE INDEX idx_consent_policy_versions_effective
 CREATE INDEX idx_consent_policy_versions_tenant
   ON consent_policy_versions(tenant_id, policy_type);
 
+CREATE INDEX idx_consent_statements_tenant ON consent_statements(tenant_id, is_active);
+
+CREATE INDEX idx_csl_version ON consent_statement_localizations(version_id, language);
+
+CREATE INDEX idx_csv_effective ON consent_statement_versions(effective_at);
+
+CREATE INDEX idx_csv_statement ON consent_statement_versions(statement_id, is_current);
+
+CREATE UNIQUE INDEX idx_csv_unique_current ON consent_statement_versions(tenant_id, statement_id) WHERE is_current = 1;
+
 CREATE INDEX idx_consents_client ON oauth_client_consents(client_id);
 
 CREATE INDEX idx_consents_expires_at_active
@@ -1859,6 +2002,8 @@ CREATE INDEX idx_suspicious_activities_type ON suspicious_activities(tenant_id,
 
 CREATE INDEX idx_suspicious_activities_user ON suspicious_activities(tenant_id, user_id);
 
+CREATE INDEX idx_tcr_tenant ON tenant_consent_requirements(tenant_id);
+
 CREATE INDEX idx_tcr_evaluation ON token_claim_rules(
   tenant_id,
   token_type,
@@ -1888,16 +2033,23 @@ CREATE UNIQUE INDEX idx_upstream_providers_tenant_slug
   ON upstream_providers(tenant_id, slug)
   WHERE slug IS NOT NULL;
 
+CREATE INDEX idx_upstream_providers_enable_sso
+  ON upstream_providers(tenant_id, enable_sso);
+
+CREATE INDEX idx_ucr_expires ON user_consent_records(expires_at) WHERE expires_at IS NOT NULL;
+
+CREATE INDEX idx_ucr_statement ON user_consent_records(tenant_id, statement_id);
+
+CREATE INDEX idx_ucr_status ON user_consent_records(status);
+
+CREATE INDEX idx_ucr_user ON user_consent_records(tenant_id, user_id);
+
 CREATE INDEX idx_user_verified_attributes_name ON user_verified_attributes(tenant_id, attribute_name);
 
 CREATE INDEX idx_user_verified_attributes_user ON user_verified_attributes(tenant_id, user_id);
 
-CREATE INDEX idx_users_core_active ON users_core(is_active);
-
 CREATE INDEX idx_users_core_email_domain ON users_core(email_domain_hash);
 
-CREATE INDEX idx_users_core_hash_version ON users_core(email_domain_hash_version);
-
 CREATE INDEX idx_users_core_partition ON users_core(pii_partition);
 
 CREATE INDEX idx_users_core_pii_status ON users_core(pii_status);
@@ -1965,3 +2117,69 @@ CREATE INDEX idx_ws_subs_connection
 CREATE INDEX idx_ws_subs_subject
     ON websocket_subscriptions(subject_id, is_active);
 
+
+-- =============================================================================
+-- From 053: Custom Claim Schemas (with registration form fields from 060)
+-- =============================================================================
+
+CREATE TABLE custom_claim_schemas (
+  id TEXT PRIMARY KEY,
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+  field_key TEXT NOT NULL,
+  display_label TEXT NOT NULL,
+  field_type TEXT NOT NULL DEFAULT 'string',
+  is_pii INTEGER NOT NULL DEFAULT 0,
+  is_required INTEGER NOT NULL DEFAULT 0,
+  is_active INTEGER NOT NULL DEFAULT 1,
+  validation_rules TEXT CHECK(validation_rules IS NULL OR json_valid(validation_rules)),
+  include_in_id_token INTEGER NOT NULL DEFAULT 0,
+  include_in_userinfo INTEGER NOT NULL DEFAULT 0,
+  include_in_introspection INTEGER NOT NULL DEFAULT 0,
+  required_scopes TEXT CHECK(required_scopes IS NULL OR json_valid(required_scopes)),
+  scope_mode TEXT NOT NULL DEFAULT 'any' CHECK(scope_mode IN ('all', 'any')),
+  is_searchable INTEGER NOT NULL DEFAULT 1,
+  is_exportable INTEGER NOT NULL DEFAULT 1,
+  is_vc_claim INTEGER NOT NULL DEFAULT 0,
+  claim_namespace TEXT,
+  description TEXT,
+  display_order INTEGER NOT NULL DEFAULT 0,
+  schema_version INTEGER NOT NULL DEFAULT 1,
+  operation_status TEXT NOT NULL DEFAULT 'active',
+  operation_detail TEXT,
+  is_system INTEGER NOT NULL DEFAULT 0,
+  created_by TEXT,
+  created_at INTEGER NOT NULL,
+  updated_at INTEGER NOT NULL,
+  show_on_registration    INTEGER NOT NULL DEFAULT 0,
+  registration_required   INTEGER NOT NULL DEFAULT 0,
+  registration_order      INTEGER NOT NULL DEFAULT 0,
+  registration_placeholder TEXT
+);
+
+CREATE UNIQUE INDEX uniq_ccs_active_key ON custom_claim_schemas(tenant_id, field_key) WHERE is_active = 1;
+CREATE INDEX idx_ccs_tenant_active ON custom_claim_schemas(tenant_id, is_active, display_order);
+CREATE INDEX idx_ccs_tenant_key ON custom_claim_schemas(tenant_id, field_key);
+CREATE INDEX idx_ccs_operation ON custom_claim_schemas(operation_status) WHERE operation_status != 'active';
+
+-- =============================================================================
+-- From 059: Tenant Invitations
+-- =============================================================================
+
+CREATE TABLE tenant_invitations (
+  id             TEXT PRIMARY KEY,
+  token          TEXT NOT NULL UNIQUE,
+  tenant_id      TEXT NOT NULL DEFAULT 'default',
+  invited_email  TEXT,
+  invited_by     TEXT NOT NULL,
+  role_id        TEXT,
+  org_id         TEXT,
+  max_uses       INTEGER NOT NULL DEFAULT 1,
+  use_count      INTEGER NOT NULL DEFAULT 0,
+  expires_at     INTEGER NOT NULL,
+  created_at     INTEGER NOT NULL,
+  updated_at     INTEGER NOT NULL
+);
+
+CREATE INDEX idx_ti_token  ON tenant_invitations(token)
+  WHERE expires_at > unixepoch();
+CREATE INDEX idx_ti_tenant ON tenant_invitations(tenant_id, created_at DESC);

package/migrations/admin/006_admin_setup_tokens.sql

@@ -1,91 +1,91 @@
--- =============================================================================
--- Migration: Admin Setup Tokens (D1_ADMIN)
--- =============================================================================
--- Created: 2025-01-25
--- Description: Creates admin_setup_tokens table for secure Admin UI passkey
---              registration during initial setup.
---
--- IMPORTANT: This migration is for D1_ADMIN (dedicated Admin database).
---
--- Use Case:
--- - After initial setup on Router, redirect to Admin UI with a setup token
--- - Admin UI verifies the token and allows passkey registration
--- - Token is single-use and time-limited for security
--- =============================================================================
-
--- =============================================================================
--- admin_setup_tokens Table
--- =============================================================================
--- Stores one-time setup tokens for Admin UI passkey registration.
--- These tokens allow secure passkey registration after initial setup.
---
--- Lifecycle:
--- 1. Created during initial setup (or via CLI for recovery)
--- 2. Used when admin visits Admin UI /setup/complete?token=xxx
--- 3. Invalidated after successful passkey registration
--- 4. Auto-expires after 24 hours
--- =============================================================================
-
-CREATE TABLE IF NOT EXISTS admin_setup_tokens (
-  -- Token ID (the actual token value, UUID v4)
-  id TEXT PRIMARY KEY,
-
-  -- Multi-tenant support
-  tenant_id TEXT NOT NULL DEFAULT 'default',
-
-  -- Reference to admin user
-  admin_user_id TEXT NOT NULL REFERENCES admin_users(id) ON DELETE CASCADE,
-
-  -- Token status
-  -- pending: Created, waiting for use
-  -- used: Successfully used for passkey registration
-  -- expired: Expired without use
-  -- revoked: Manually revoked
-  status TEXT NOT NULL DEFAULT 'pending',
-
-  -- Expiration (UNIX timestamp in milliseconds)
-  expires_at INTEGER NOT NULL,
-
-  -- Usage tracking
-  used_at INTEGER,  -- When the token was used
-  used_ip TEXT,     -- IP address that used the token
-
-  -- Audit fields
-  created_at INTEGER NOT NULL,
-  created_by TEXT  -- 'initial_setup' | 'cli' | admin_user_id
-);
-
--- =============================================================================
--- Indexes for admin_setup_tokens
--- =============================================================================
-
--- User's tokens lookup (for checking existing tokens)
-CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_user ON admin_setup_tokens(admin_user_id);
-
--- Tenant-scoped lookup
-CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_tenant ON admin_setup_tokens(tenant_id);
-
--- Status filter (for cleanup jobs)
-CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_status ON admin_setup_tokens(status);
-
--- Expiration lookup (for cleanup jobs)
-CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_expires ON admin_setup_tokens(expires_at);
-
--- =============================================================================
--- admin_users: Add passkey_setup_completed column
--- =============================================================================
--- Track whether the admin user has completed passkey setup on Admin UI.
--- This is separate from having passkeys - it tracks the initial setup flow.
--- =============================================================================
-
-ALTER TABLE admin_users ADD COLUMN passkey_setup_completed INTEGER DEFAULT 0;
-
--- =============================================================================
--- Migration Complete
--- =============================================================================
--- Usage:
--- 1. Router creates token during initial setup
--- 2. Admin visits Admin UI with token
--- 3. Admin UI verifies token and registers passkey
--- 4. Token is marked as 'used' and passkey_setup_completed is set to 1
--- =============================================================================
+-- =============================================================================
+-- Migration: Admin Setup Tokens (D1_ADMIN)
+-- =============================================================================
+-- Created: 2025-01-25
+-- Description: Creates admin_setup_tokens table for secure Admin UI passkey
+--              registration during initial setup.
+--
+-- IMPORTANT: This migration is for D1_ADMIN (dedicated Admin database).
+--
+-- Use Case:
+-- - After initial setup on Router, redirect to Admin UI with a setup token
+-- - Admin UI verifies the token and allows passkey registration
+-- - Token is single-use and time-limited for security
+-- =============================================================================
+
+-- =============================================================================
+-- admin_setup_tokens Table
+-- =============================================================================
+-- Stores one-time setup tokens for Admin UI passkey registration.
+-- These tokens allow secure passkey registration after initial setup.
+--
+-- Lifecycle:
+-- 1. Created during initial setup (or via CLI for recovery)
+-- 2. Used when admin visits Admin UI /setup/complete?token=xxx
+-- 3. Invalidated after successful passkey registration
+-- 4. Auto-expires after 24 hours
+-- =============================================================================
+
+CREATE TABLE IF NOT EXISTS admin_setup_tokens (
+  -- Token ID (the actual token value, UUID v4)
+  id TEXT PRIMARY KEY,
+
+  -- Multi-tenant support
+  tenant_id TEXT NOT NULL DEFAULT 'default',
+
+  -- Reference to admin user
+  admin_user_id TEXT NOT NULL REFERENCES admin_users(id) ON DELETE CASCADE,
+
+  -- Token status
+  -- pending: Created, waiting for use
+  -- used: Successfully used for passkey registration
+  -- expired: Expired without use
+  -- revoked: Manually revoked
+  status TEXT NOT NULL DEFAULT 'pending',
+
+  -- Expiration (UNIX timestamp in milliseconds)
+  expires_at INTEGER NOT NULL,
+
+  -- Usage tracking
+  used_at INTEGER,  -- When the token was used
+  used_ip TEXT,     -- IP address that used the token
+
+  -- Audit fields
+  created_at INTEGER NOT NULL,
+  created_by TEXT  -- 'initial_setup' | 'cli' | admin_user_id
+);
+
+-- =============================================================================
+-- Indexes for admin_setup_tokens
+-- =============================================================================
+
+-- User's tokens lookup (for checking existing tokens)
+CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_user ON admin_setup_tokens(admin_user_id);
+
+-- Tenant-scoped lookup
+CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_tenant ON admin_setup_tokens(tenant_id);
+
+-- Status filter (for cleanup jobs)
+CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_status ON admin_setup_tokens(status);
+
+-- Expiration lookup (for cleanup jobs)
+CREATE INDEX IF NOT EXISTS idx_admin_setup_tokens_expires ON admin_setup_tokens(expires_at);
+
+-- =============================================================================
+-- admin_users: Add passkey_setup_completed column
+-- =============================================================================
+-- Track whether the admin user has completed passkey setup on Admin UI.
+-- This is separate from having passkeys - it tracks the initial setup flow.
+-- =============================================================================
+
+ALTER TABLE admin_users ADD COLUMN passkey_setup_completed INTEGER DEFAULT 0;
+
+-- =============================================================================
+-- Migration Complete
+-- =============================================================================
+-- Usage:
+-- 1. Router creates token during initial setup
+-- 2. Admin visits Admin UI with token
+-- 3. Admin UI verifies token and registers passkey
+-- 4. Token is marked as 'used' and passkey_setup_completed is set to 1
+-- =============================================================================

package/migrations/admin/007_admin_role_inheritance.sql

@@ -0,0 +1,32 @@
+-- =============================================================================
+-- Migration: Admin Role Inheritance (D1_ADMIN)
+-- =============================================================================
+-- Created: 2026-02-06
+-- Description: Adds role inheritance support to admin_roles table.
+--              Allows roles to inherit permissions from parent roles.
+--
+-- Changes:
+-- - Add inherits_from column to admin_roles table
+-- - Add index for inheritance lookup
+-- =============================================================================
+
+-- =============================================================================
+-- Add inherits_from column to admin_roles
+-- =============================================================================
+
+-- Add inherits_from column (nullable, references another role)
+ALTER TABLE admin_roles ADD COLUMN inherits_from TEXT DEFAULT NULL;
+
+-- Create index for inheritance lookup
+CREATE INDEX IF NOT EXISTS idx_admin_roles_inherits ON admin_roles(inherits_from);
+
+-- =============================================================================
+-- Migration Complete
+-- =============================================================================
+--
+-- admin_roles table now supports role inheritance:
+-- - inherits_from: ID of parent role (NULL if no inheritance)
+-- - Permissions are merged: child role permissions + parent role permissions
+-- - Inheritance chain can be resolved recursively
+--
+-- =============================================================================