@dudousxd/adonis-authkit-server 0.1.0

package/build/src/host/i18n.d.ts

@@ -0,0 +1,178 @@
+/**
+ * Internacionalização (i18n) das telas do host-kit.
+ *
+ * Todas as strings visíveis ao usuário das views Edge (e as mensagens de
+ * flash/erro produzidas pelos controllers) vivem num catálogo achatado de
+ * chaves pontilhadas. O default embutido é pt-BR — os apps continuam
+ * funcionando SEM nenhuma configuração. O host pode sobrescrever chaves
+ * pontuais ou fornecer locales inteiros (ex.: `en`) via `I18nConfig`.
+ */
+/** Catálogo achatado de chaves de mensagem → strings. */
+export type AuthMessages = Record<string, string>;
+export interface I18nConfig {
+    /** Locale ativo. Default: 'pt-BR'. */
+    locale?: string;
+    /**
+     * Locales adicionais e/ou overrides pontuais. As chaves do locale ativo são
+     * mescladas SOBRE o default pt-BR — então o host pode trocar só algumas
+     * chaves ou trazer um locale novo por completo.
+     */
+    messages?: Record<string, Partial<AuthMessages>>;
+}
+/** Locale default do host-kit. */
+export declare const DEFAULT_LOCALE = "pt-BR";
+/**
+ * Catálogo default (pt-BR) — cobre TODAS as strings visíveis ao usuário das
+ * views e as mensagens de flash/erro dos controllers. Chaves agrupadas por tela.
+ */
+export declare const DEFAULT_MESSAGES: {
+    'common.app_fallback': string;
+    'common.brand_eyebrow': string;
+    'login.page_title': string;
+    'login.title': string;
+    'login.identifier_intro': string;
+    'login.email_label': string;
+    'login.identifier_submit': string;
+    'login.create_account': string;
+    'login.forgot_password': string;
+    'login.divider_or': string;
+    'login.google': string;
+    'login.greeting': string;
+    'login.switch_account': string;
+    'login.password_label': string;
+    'login.submit': string;
+    'signup.page_title': string;
+    'signup.title': string;
+    'signup.intro': string;
+    'signup.name_label': string;
+    'signup.email_label': string;
+    'signup.password_label': string;
+    'signup.submit': string;
+    'signup.have_account': string;
+    'forgot.page_title': string;
+    'forgot.sent_title': string;
+    'forgot.sent_body': string;
+    'forgot.title': string;
+    'forgot.intro': string;
+    'forgot.email_label': string;
+    'forgot.submit': string;
+    'reset.page_title': string;
+    'reset.done_title': string;
+    'reset.done_body': string;
+    'reset.title': string;
+    'reset.intro': string;
+    'reset.password_label': string;
+    'reset.submit': string;
+    'verify_email.page_title': string;
+    'verify_email.verified_title': string;
+    'verify_email.verified_body': string;
+    'verify_email.invalid_title': string;
+    'verify_email.invalid_body': string;
+    'mfa_challenge.page_title': string;
+    'mfa_challenge.title': string;
+    'mfa_challenge.intro': string;
+    'mfa_challenge.code_label': string;
+    'mfa_challenge.submit': string;
+    'mfa_challenge.recovery_summary': string;
+    'mfa_challenge.recovery_submit': string;
+    'mfa_challenge.passkey_button': string;
+    'mfa_challenge.passkey_error': string;
+    'consent.page_title': string;
+    'consent.title': string;
+    'consent.body': string;
+    'consent.submit': string;
+    'account.login.page_title': string;
+    'account.login.title': string;
+    'account.login.intro': string;
+    'account.login.email_label': string;
+    'account.login.password_label': string;
+    'account.login.submit': string;
+    'account.tokens.page_title': string;
+    'account.tokens.title': string;
+    'account.tokens.logout': string;
+    'account.tokens.created_notice': string;
+    'account.tokens.name_placeholder': string;
+    'account.tokens.create': string;
+    'account.tokens.empty': string;
+    'account.tokens.created_at': string;
+    'account.tokens.last_used': string;
+    'account.tokens.never_used': string;
+    'account.tokens.scopes': string;
+    'account.tokens.audience': string;
+    'account.tokens.revoke': string;
+    'account.mfa.page_title': string;
+    'account.mfa.title': string;
+    'account.mfa.logout': string;
+    'account.mfa.recovery_codes_notice': string;
+    'account.mfa.enroll_intro': string;
+    'account.mfa.qr_alt': string;
+    'account.mfa.manual_intro': string;
+    'account.mfa.confirm_code_label': string;
+    'account.mfa.activate': string;
+    'account.mfa.enabled_html': string;
+    'account.mfa.disable': string;
+    'account.mfa.disabled_intro': string;
+    'account.mfa.enable': string;
+    'mfa.passkey.section_title': string;
+    'mfa.passkey.section_intro': string;
+    'mfa.passkey.add': string;
+    'mfa.passkey.remove': string;
+    'mfa.passkey.empty': string;
+    'mfa.passkey.unnamed': string;
+    'mfa.passkey.created_at': string;
+    'mfa.passkey.register_error': string;
+    'mfa.passkey.unsupported': string;
+    'admin.nav.dashboard': string;
+    'admin.nav.users': string;
+    'admin.nav.clients': string;
+    'admin.nav.audit': string;
+    'admin.nav.logout': string;
+    'admin.dashboard.page_title': string;
+    'admin.dashboard.title': string;
+    'admin.dashboard.users_count': string;
+    'admin.dashboard.clients_count': string;
+    'admin.dashboard.audit_count': string;
+    'admin.dashboard.recent_title': string;
+    'admin.users.page_title': string;
+    'admin.users.title': string;
+    'admin.users.search_placeholder': string;
+    'admin.users.search': string;
+    'admin.users.empty': string;
+    'admin.users.roles_placeholder': string;
+    'admin.users.save_roles': string;
+    'admin.clients.page_title': string;
+    'admin.clients.title': string;
+    'admin.clients.empty': string;
+    'admin.clients.confidential': string;
+    'admin.clients.public': string;
+    'admin.clients.grants': string;
+    'admin.clients.redirect_uris': string;
+    'admin.clients.dynamic_notice': string;
+    'admin.audit.page_title': string;
+    'admin.audit.title': string;
+    'admin.audit.type_placeholder': string;
+    'admin.audit.subject_placeholder': string;
+    'admin.audit.filter': string;
+    'admin.audit.empty': string;
+    'admin.audit.not_supported': string;
+    'admin.pagination.page': string;
+    'admin.pagination.prev': string;
+    'admin.pagination.next': string;
+    'errors.invalid_credentials': string;
+    'errors.invalid_code': string;
+    'errors.email_taken': string;
+    'errors.signup_failed': string;
+    'errors.invalid_or_expired_token': string;
+    'errors.account_locked': string;
+};
+/**
+ * Resolve o catálogo ativo: mescla os overrides do locale selecionado SOBRE o
+ * default pt-BR. Sem config, retorna os defaults intactos. Chaves omitidas pelo
+ * locale escolhido caem no default pt-BR (fallback de cobertura).
+ */
+export declare function resolveMessages(i18n?: I18nConfig): AuthMessages;
+/**
+ * Retorna a string para `key` (cai na própria `key` quando ausente) com
+ * interpolação no estilo `{name}`. Mantém placeholders sem valor intactos.
+ */
+export declare function translate(messages: AuthMessages, key: string, params?: Record<string, string | number>): string;

package/build/src/host/i18n.js

@@ -0,0 +1,208 @@
+/**
+ * Internacionalização (i18n) das telas do host-kit.
+ *
+ * Todas as strings visíveis ao usuário das views Edge (e as mensagens de
+ * flash/erro produzidas pelos controllers) vivem num catálogo achatado de
+ * chaves pontilhadas. O default embutido é pt-BR — os apps continuam
+ * funcionando SEM nenhuma configuração. O host pode sobrescrever chaves
+ * pontuais ou fornecer locales inteiros (ex.: `en`) via `I18nConfig`.
+ */
+/** Locale default do host-kit. */
+export const DEFAULT_LOCALE = 'pt-BR';
+/**
+ * Catálogo default (pt-BR) — cobre TODAS as strings visíveis ao usuário das
+ * views e as mensagens de flash/erro dos controllers. Chaves agrupadas por tela.
+ */
+export const DEFAULT_MESSAGES = {
+    // Comum / fallback de marca.
+    'common.app_fallback': 'Auth',
+    'common.brand_eyebrow': 'Auth',
+    // Tela de login (interaction OIDC: identifier + password).
+    'login.page_title': 'Entrar',
+    'login.title': 'Entrar',
+    'login.identifier_intro': 'Informe seu e-mail para continuar.',
+    'login.email_label': 'E-mail',
+    'login.identifier_submit': 'Continuar',
+    'login.create_account': 'Criar conta',
+    'login.forgot_password': 'Esqueci a senha',
+    'login.divider_or': 'ou',
+    'login.google': 'Entrar com Google',
+    'login.greeting': 'Olá, {name}',
+    'login.switch_account': 'Trocar de conta',
+    'login.password_label': 'Senha',
+    'login.submit': 'Entrar',
+    // Tela de cadastro (signup).
+    'signup.page_title': 'Criar conta',
+    'signup.title': 'Criar conta',
+    'signup.intro': 'Preencha seus dados para começar.',
+    'signup.name_label': 'Nome',
+    'signup.email_label': 'E-mail',
+    'signup.password_label': 'Senha',
+    'signup.submit': 'Criar conta',
+    'signup.have_account': 'Já tenho conta',
+    // Recuperação de senha (forgot).
+    'forgot.page_title': 'Recuperar senha',
+    'forgot.sent_title': 'E-mail enviado',
+    'forgot.sent_body': 'Se o e-mail existir, enviaremos instruções de redefinição.',
+    'forgot.title': 'Recuperar senha',
+    'forgot.intro': 'Enviaremos um link para redefinir sua senha.',
+    'forgot.email_label': 'E-mail',
+    'forgot.submit': 'Enviar link',
+    // Redefinição de senha (reset).
+    'reset.page_title': 'Redefinir senha',
+    'reset.done_title': 'Senha redefinida',
+    'reset.done_body': 'Você já pode entrar com a nova senha.',
+    'reset.title': 'Nova senha',
+    'reset.intro': 'Escolha uma nova senha para sua conta.',
+    'reset.password_label': 'Senha',
+    'reset.submit': 'Redefinir',
+    // Verificação de e-mail (verify-email).
+    'verify_email.page_title': 'Verificar e-mail',
+    'verify_email.verified_title': 'E-mail verificado',
+    'verify_email.verified_body': 'Seu e-mail foi confirmado com sucesso.',
+    'verify_email.invalid_title': 'Link inválido',
+    'verify_email.invalid_body': 'O link de verificação é inválido ou já foi utilizado.',
+    // Desafio de MFA no fluxo de login (mfa-challenge).
+    'mfa_challenge.page_title': 'Verificação em duas etapas',
+    'mfa_challenge.title': 'Verificação em duas etapas',
+    'mfa_challenge.intro': 'Abra seu app autenticador e informe o código de 6 dígitos.',
+    'mfa_challenge.code_label': 'Código',
+    'mfa_challenge.submit': 'Verificar',
+    'mfa_challenge.recovery_summary': 'Usar um código de recuperação',
+    'mfa_challenge.recovery_submit': 'Entrar com código de recuperação',
+    'mfa_challenge.passkey_button': 'Usar passkey',
+    'mfa_challenge.passkey_error': 'Não foi possível autenticar com a passkey. Tente novamente.',
+    // Consent (autorização de cliente OIDC).
+    'consent.page_title': 'Autorizar',
+    'consent.title': 'Autorizar acesso',
+    // `{app}` é interpolado com o nome do app já envolto em <strong> (renderizado
+    // raw na view). O nome vem do branding (config-trusted).
+    'consent.body': 'O app <strong>{app}</strong> quer acessar sua conta.',
+    'consent.submit': 'Autorizar',
+    // Console de conta — login (account/login).
+    'account.login.page_title': 'Minha conta',
+    'account.login.title': 'Minha conta',
+    'account.login.intro': 'Gerencie seus tokens de acesso.',
+    'account.login.email_label': 'E-mail',
+    'account.login.password_label': 'Senha',
+    'account.login.submit': 'Entrar',
+    // Console de conta — tokens (account/tokens).
+    'account.tokens.page_title': 'Tokens de acesso',
+    'account.tokens.title': 'Tokens de acesso',
+    'account.tokens.logout': 'Sair',
+    'account.tokens.created_notice': 'Token criado — copie agora, não será mostrado de novo:',
+    'account.tokens.name_placeholder': 'Nome do token (ex.: CI deploy)',
+    'account.tokens.create': 'Criar',
+    'account.tokens.empty': 'Nenhum token ainda.',
+    'account.tokens.created_at': 'Criado em {date}',
+    'account.tokens.last_used': '· último uso {date}',
+    'account.tokens.never_used': '· nunca usado',
+    'account.tokens.scopes': 'Escopos: {scopes}',
+    'account.tokens.audience': 'Audiência: {audience}',
+    'account.tokens.revoke': 'Revogar',
+    // Console de conta — MFA (account/mfa).
+    'account.mfa.page_title': 'Verificação em duas etapas',
+    'account.mfa.title': 'Verificação em duas etapas',
+    'account.mfa.logout': 'Sair',
+    'account.mfa.recovery_codes_notice': 'Guarde seus códigos de recuperação — eles não serão mostrados de novo:',
+    'account.mfa.enroll_intro': 'Escaneie o QR code com seu app autenticador (Google Authenticator, 1Password, etc.).',
+    'account.mfa.qr_alt': 'QR code TOTP',
+    'account.mfa.manual_intro': 'Ou informe manualmente:',
+    'account.mfa.confirm_code_label': 'Código de confirmação',
+    'account.mfa.activate': 'Ativar verificação em duas etapas',
+    'account.mfa.enabled_html': 'A verificação em duas etapas está <span class="font-semibold text-emerald-700">ativa</span> nesta conta.',
+    'account.mfa.disable': 'Desativar',
+    'account.mfa.disabled_intro': 'A verificação em duas etapas está desativada. Ative-a para proteger sua conta com um app autenticador.',
+    'account.mfa.enable': 'Ativar verificação em duas etapas',
+    // Console de conta — passkeys (WebAuthn) na tela de MFA.
+    'mfa.passkey.section_title': 'Passkeys (chaves de acesso)',
+    'mfa.passkey.section_intro': 'Use uma chave de acesso (biometria, PIN do dispositivo ou chave de segurança) como segundo fator, sem precisar digitar códigos.',
+    'mfa.passkey.add': 'Adicionar passkey',
+    'mfa.passkey.remove': 'Remover',
+    'mfa.passkey.empty': 'Nenhuma passkey registrada.',
+    'mfa.passkey.unnamed': 'Passkey',
+    'mfa.passkey.created_at': 'Criada em {date}',
+    'mfa.passkey.register_error': 'Não foi possível registrar a passkey. Tente novamente.',
+    'mfa.passkey.unsupported': 'Seu navegador não suporta passkeys.',
+    // Console admin (B6) — navegação compartilhada.
+    'admin.nav.dashboard': 'Painel',
+    'admin.nav.users': 'Usuários',
+    'admin.nav.clients': 'Clients',
+    'admin.nav.audit': 'Auditoria',
+    'admin.nav.logout': 'Sair',
+    // Console admin — dashboard.
+    'admin.dashboard.page_title': 'Painel admin',
+    'admin.dashboard.title': 'Painel administrativo',
+    'admin.dashboard.users_count': 'Usuários',
+    'admin.dashboard.clients_count': 'Clients',
+    'admin.dashboard.audit_count': 'Eventos de auditoria',
+    'admin.dashboard.recent_title': 'Eventos recentes',
+    // Console admin — usuários.
+    'admin.users.page_title': 'Usuários',
+    'admin.users.title': 'Usuários',
+    'admin.users.search_placeholder': 'Buscar por e-mail',
+    'admin.users.search': 'Buscar',
+    'admin.users.empty': 'Nenhum usuário encontrado.',
+    'admin.users.roles_placeholder': 'Papéis (separados por vírgula)',
+    'admin.users.save_roles': 'Salvar papéis',
+    // Console admin — clients.
+    'admin.clients.page_title': 'Clients OAuth',
+    'admin.clients.title': 'Clients OAuth',
+    'admin.clients.empty': 'Nenhum client configurado.',
+    'admin.clients.confidential': 'Confidencial',
+    'admin.clients.public': 'Público',
+    'admin.clients.grants': 'Grants: {grants}',
+    'admin.clients.redirect_uris': 'Redirects: {uris}',
+    'admin.clients.dynamic_notice': 'O registro dinâmico de clients está ligado — clients registrados via /reg vivem no adapter e não aparecem nesta lista.',
+    // Console admin — auditoria.
+    'admin.audit.page_title': 'Auditoria',
+    'admin.audit.title': 'Log de auditoria',
+    'admin.audit.type_placeholder': 'Filtrar por tipo',
+    'admin.audit.subject_placeholder': 'Filtrar por subject (accountId)',
+    'admin.audit.filter': 'Filtrar',
+    'admin.audit.empty': 'Nenhum evento encontrado.',
+    'admin.audit.not_supported': 'O sink de auditoria configurado não suporta consulta.',
+    // Console admin — paginação compartilhada.
+    'admin.pagination.page': 'Página {page} de {total}',
+    'admin.pagination.prev': 'Anterior',
+    'admin.pagination.next': 'Próxima',
+    // Mensagens de erro/flash produzidas pelos controllers.
+    'errors.invalid_credentials': 'Credenciais inválidas',
+    'errors.invalid_code': 'Código inválido',
+    'errors.email_taken': 'E-mail já cadastrado',
+    'errors.signup_failed': 'Não foi possível criar a conta',
+    'errors.invalid_or_expired_token': 'Token inválido ou expirado',
+    'errors.account_locked': 'Conta temporariamente bloqueada por excesso de tentativas. Tente novamente em {seconds}s.',
+};
+/**
+ * Resolve o catálogo ativo: mescla os overrides do locale selecionado SOBRE o
+ * default pt-BR. Sem config, retorna os defaults intactos. Chaves omitidas pelo
+ * locale escolhido caem no default pt-BR (fallback de cobertura).
+ */
+export function resolveMessages(i18n) {
+    const base = { ...DEFAULT_MESSAGES };
+    const locale = i18n?.locale ?? DEFAULT_LOCALE;
+    const overrides = i18n?.messages?.[locale];
+    if (!overrides)
+        return base;
+    // Mescla só valores definidos (o `Partial` permite undefined); chaves omitidas
+    // seguem caindo no default pt-BR.
+    for (const [key, value] of Object.entries(overrides)) {
+        if (value !== undefined)
+            base[key] = value;
+    }
+    return base;
+}
+/**
+ * Retorna a string para `key` (cai na própria `key` quando ausente) com
+ * interpolação no estilo `{name}`. Mantém placeholders sem valor intactos.
+ */
+export function translate(messages, key, params) {
+    const template = messages[key] ?? key;
+    if (!params)
+        return template;
+    return template.replace(/\{(\w+)\}/g, (match, name) => {
+        const value = params[name];
+        return value === undefined ? match : String(value);
+    });
+}

package/build/src/host/middleware/account_auth.d.ts

@@ -0,0 +1,7 @@
+import '../augmentations.js';
+import type { HttpContext } from '@adonisjs/core/http';
+import type { NextFn } from '@adonisjs/core/types/http';
+export declare const ACCOUNT_SESSION_KEY = "account_user_id";
+export default class AccountAuthMiddleware {
+    handle(ctx: HttpContext, next: NextFn): Promise<any>;
+}

package/build/src/host/middleware/account_auth.js

@@ -0,0 +1,11 @@
+import '../augmentations.js';
+export const ACCOUNT_SESSION_KEY = 'account_user_id';
+export default class AccountAuthMiddleware {
+    async handle(ctx, next) {
+        const userId = ctx.session.get(ACCOUNT_SESSION_KEY);
+        if (!userId) {
+            return ctx.response.redirect('/account/login');
+        }
+        return next();
+    }
+}

package/build/src/host/rate_limit.d.ts

@@ -0,0 +1,32 @@
+import type { HttpContext } from '@adonisjs/core/http';
+import type { ResolvedRateLimitConfig } from '../define_config.js';
+/**
+ * Assinatura mínima de um middleware do AdonisJS. Evita acoplar o tipo concreto
+ * do `@adonisjs/limiter` (que pode não estar instalado no host).
+ */
+export type ThrottleMiddleware = (ctx: HttpContext, next: () => Promise<void>) => Promise<void>;
+/**
+ * Os throttles construídos para as rotas sensíveis do host-kit.
+ * - `login`: compartilhado por login/signup/forgot/reset (keyed por IP).
+ * - `introspection`: introspecção de PAT (keyed por IP ou pelo bearer secret).
+ */
+export interface AuthThrottles {
+    login: ThrottleMiddleware;
+    introspection: ThrottleMiddleware;
+}
+/**
+ * Service do `@adonisjs/limiter` resolvido de forma preguiçosa. Tipado como `any`
+ * de propósito: a lib NÃO depende do limiter em tempo de compilação (peer/opt-in).
+ */
+type LimiterService = any;
+/**
+ * Permite reapontar/limpar o loader do limiter (usado em testes).
+ * @internal
+ */
+export declare function __setLimiterLoaderForTests(fn: (() => Promise<LimiterService | null>) | undefined): void;
+/**
+ * Cria os throttles do host-kit a partir da config resolvida.
+ * Retorna `undefined` quando rate-limit está desligado (rotas montadas sem throttle).
+ */
+export declare function createAuthThrottles(config: ResolvedRateLimitConfig): AuthThrottles | undefined;
+export {};

package/build/src/host/rate_limit.js

@@ -0,0 +1,87 @@
+var __rewriteRelativeImportExtension = (this && this.__rewriteRelativeImportExtension) || function (path, preserveJsx) {
+    if (typeof path === "string" && /^\.\.?\//.test(path)) {
+        return path.replace(/\.(tsx)$|((?:\.d)?)((?:\.[^./]+?)?)\.([cm]?)ts$/i, function (m, tsx, d, ext, cm) {
+            return tsx ? preserveJsx ? ".jsx" : ".js" : d && (!ext || !cm) ? m : (d + ext + "." + cm.toLowerCase() + "js");
+        });
+    }
+    return path;
+};
+let limiterServicePromise;
+/**
+ * Importa o service do limiter do HOST de forma preguiçosa e fail-safe.
+ * Se `@adonisjs/limiter` não estiver instalado/configurado, resolve `null`
+ * e o throttle vira no-op (não quebra o boot nem a request).
+ */
+async function loadLimiter() {
+    if (!limiterServicePromise) {
+        // Indireção via variável: o `@adonisjs/limiter` é peer/opcional e pode não
+        // estar instalado na lib, então o specifier não é resolvido em build-time.
+        const specifier = '@adonisjs/limiter/services/main';
+        limiterServicePromise = import(__rewriteRelativeImportExtension(specifier))
+            .then((mod) => mod.default ?? null)
+            .catch(() => null);
+    }
+    return limiterServicePromise;
+}
+/**
+ * Permite reapontar/limpar o loader do limiter (usado em testes).
+ * @internal
+ */
+export function __setLimiterLoaderForTests(fn) {
+    if (fn) {
+        limiterServicePromise = fn();
+    }
+    else {
+        limiterServicePromise = undefined;
+    }
+}
+/**
+ * Constrói um middleware de throttle preguiçoso. A configuração do limiter
+ * (`allowRequests().every().usingKey()`) só é resolvida na primeira request,
+ * porque o service do limiter é importado de forma assíncrona. Se o limiter
+ * não existir, o middleware passa adiante sem throttle (fail-safe).
+ */
+function buildThrottle(name, bucket, store, keyOf) {
+    let middleware;
+    return async (ctx, next) => {
+        if (!middleware) {
+            const limiter = await loadLimiter();
+            if (!limiter) {
+                // Limiter indisponível: degrada para no-op (sem quebrar a request).
+                middleware = async (_ctx, n) => n();
+            }
+            else {
+                middleware = limiter.define(name, (reqCtx) => {
+                    let b = limiter.allowRequests(bucket.points).every(bucket.duration);
+                    if (store)
+                        b = b.store(store);
+                    const key = keyOf?.(reqCtx);
+                    if (key)
+                        b = b.usingKey(key);
+                    return b;
+                });
+            }
+        }
+        return middleware(ctx, next);
+    };
+}
+/**
+ * Cria os throttles do host-kit a partir da config resolvida.
+ * Retorna `undefined` quando rate-limit está desligado (rotas montadas sem throttle).
+ */
+export function createAuthThrottles(config) {
+    if (!config.enabled)
+        return undefined;
+    return {
+        // Login/signup/forgot/reset: keyed por IP (default do HttpLimiter).
+        login: buildThrottle('authkit_login', config.login, config.store),
+        // Introspecção de PAT: keyed pelo bearer secret quando presente, senão por IP.
+        introspection: buildThrottle('authkit_pat_introspection', config.introspection, config.store, (ctx) => {
+            const auth = ctx.request.header('authorization');
+            if (auth && auth.toLowerCase().startsWith('bearer ')) {
+                return `bearer:${auth.slice(7).trim()}`;
+            }
+            return undefined;
+        }),
+    };
+}

package/build/src/host/register_auth_host.d.ts

@@ -0,0 +1,41 @@
+import type { Router } from '@adonisjs/core/http';
+import type { AuthSocialConfig, RateLimitConfigInput } from '../define_config.js';
+/**
+ * Guard do console admin (B6). Como o `accountGuard`, é uma closure inline (forma
+ * confiável do `.use()` num grupo). Exige:
+ *   1. sessão de conta ativa (senão → /account/login);
+ *   2. a conta logada com pelo menos UMA das `config.admin.roles` nas roles globais
+ *      (senão → /account/tokens, evitando vazar a existência do /admin).
+ * As roles permitidas são resolvidas em runtime do `authkit.server` (config lazy).
+ */
+export declare const adminGuard: (ctx: any, next: () => Promise<void>) => Promise<any>;
+export interface AuthHostOptions {
+    /** Onde o provider OIDC é montado (default '/oidc'). Deve casar com o final do issuer. */
+    mountPath: string;
+    /**
+     * Login social opt-in; quando presente, monta as rotas sociais (usam ctx.ally).
+     * Necessário aqui (e não só no config) porque a decisão de montar as rotas é
+     * tomada em tempo de registro, antes do config (lazy) resolver.
+     */
+    social?: AuthSocialConfig;
+    /**
+     * Rate-limiting (anti-brute-force) das rotas sensíveis. Necessário aqui (e não
+     * só no config) porque a aplicação do throttle acontece em tempo de registro de
+     * rota. Ligado por default (mesma resolução do config). Espelhe o `rateLimit` de
+     * config/authkit.ts. Se `@adonisjs/limiter` não estiver configurado no host
+     * (config/limiter.ts), o throttle vira no-op (fail-safe).
+     */
+    rateLimit?: RateLimitConfigInput;
+    /**
+     * Console admin opt-in (B6); quando `true`, monta o grupo `/admin/*` atrás do
+     * adminGuard. Necessário aqui (e não só no config) porque a decisão de montar
+     * as rotas é tomada em tempo de registro, antes do config (lazy) resolver.
+     * Espelhe o `admin.enabled` de config/authkit.ts.
+     */
+    admin?: boolean;
+}
+/**
+ * Monta todas as rotas do host-kit do Authorization Server numa chamada.
+ * Substitui registerOidcRoutes + o hand-wiring do start/routes.ts do host.
+ */
+export declare function registerAuthHost(router: Router, opts: AuthHostOptions): void;