@dudousxd/adonis-authkit-server 0.2.0 → 0.3.0

package/build/host/views/admin/client_form.edge

@@ -0,0 +1,83 @@
+<!doctype html>
+<html lang="pt-br"><head><meta charset="utf-8"><title>{{ mode === 'edit' ? t('admin.clients.edit_title') : t('admin.clients.new_title') }}</title>
+<script src="https://cdn.tailwindcss.com"></script></head>
+<body class="min-h-screen bg-gray-100 p-4">
+  <div class="mx-auto max-w-2xl">
+    <div class="flex items-center justify-between py-6">
+      <div>
+        <div class="text-xs font-semibold uppercase tracking-widest text-gray-400">{{ t('common.brand_eyebrow') }}</div>
+        <h1 class="text-xl font-semibold text-gray-900">{{ mode === 'edit' ? t('admin.clients.edit_title') : t('admin.clients.new_title') }}</h1>
+      </div>
+      <a href="/admin/clients" class="text-sm text-gray-500 hover:underline">{{ t('admin.clients.back') }}</a>
+    </div>
+
+    <form
+      method="POST"
+      action="{{ mode === 'edit' ? `/admin/clients/${client.clientId}/edit` : '/admin/clients' }}"
+      class="space-y-5 rounded-xl bg-white p-6 shadow-sm ring-1 ring-black/5"
+    >
+      <input type="hidden" name="_csrf" value="{{ csrfToken }}">
+
+      <div>
+        <label class="block text-sm font-medium text-gray-700">{{ t('admin.clients.field_client_id') }}</label>
+        @if(mode === 'edit')
+          <input type="text" value="{{ client.clientId }}" disabled
+            class="mt-1 w-full rounded-lg border border-gray-200 bg-gray-50 px-3 py-2 font-mono text-sm text-gray-500" />
+        @else
+          <input type="text" name="client_id" value="{{ client.clientId }}" placeholder="{{ t('admin.clients.field_client_id_placeholder') }}"
+            class="mt-1 w-full rounded-lg border border-gray-300 px-3 py-2 font-mono text-sm outline-none focus:border-gray-900" />
+          <p class="mt-1 text-xs text-gray-400">{{ t('admin.clients.field_client_id_help') }}</p>
+        @end
+      </div>
+
+      <div>
+        <label class="block text-sm font-medium text-gray-700">{{ t('admin.clients.field_redirect_uris') }}</label>
+        <textarea name="redirect_uris" rows="3" placeholder="https://app.exemplo.com/callback"
+          class="mt-1 w-full rounded-lg border border-gray-300 px-3 py-2 font-mono text-sm outline-none focus:border-gray-900">{{ client.redirectUris.join('\n') }}</textarea>
+        <p class="mt-1 text-xs text-gray-400">{{ t('admin.clients.field_redirect_uris_help') }}</p>
+      </div>
+
+      <div>
+        <label class="block text-sm font-medium text-gray-700">{{ t('admin.clients.field_post_logout_uris') }}</label>
+        <textarea name="post_logout_redirect_uris" rows="2"
+          class="mt-1 w-full rounded-lg border border-gray-300 px-3 py-2 font-mono text-sm outline-none focus:border-gray-900">{{ client.postLogoutRedirectUris.join('\n') }}</textarea>
+        <p class="mt-1 text-xs text-gray-400">{{ t('admin.clients.field_post_logout_uris_help') }}</p>
+      </div>
+
+      <div>
+        <span class="block text-sm font-medium text-gray-700">{{ t('admin.clients.field_grant_types') }}</span>
+        <div class="mt-2 space-y-1">
+          <label class="flex items-center gap-2 text-sm text-gray-700">
+            <input type="checkbox" name="grant_types" value="authorization_code" {{ client.grants.includes('authorization_code') ? 'checked' : '' }}>
+            authorization_code
+          </label>
+          <label class="flex items-center gap-2 text-sm text-gray-700">
+            <input type="checkbox" name="grant_types" value="refresh_token" {{ client.grants.includes('refresh_token') ? 'checked' : '' }}>
+            refresh_token
+          </label>
+          <label class="flex items-center gap-2 text-sm text-gray-700">
+            <input type="checkbox" name="grant_types" value="client_credentials" {{ client.grants.includes('client_credentials') ? 'checked' : '' }}>
+            client_credentials
+          </label>
+        </div>
+      </div>
+
+      <div>
+        <label class="block text-sm font-medium text-gray-700">{{ t('admin.clients.field_auth_method') }}</label>
+        <select name="token_endpoint_auth_method"
+          class="mt-1 w-full rounded-lg border border-gray-300 px-3 py-2 text-sm outline-none focus:border-gray-900">
+          <option value="client_secret_basic" {{ client.tokenEndpointAuthMethod === 'client_secret_basic' ? 'selected' : '' }}>client_secret_basic</option>
+          <option value="client_secret_post" {{ client.tokenEndpointAuthMethod === 'client_secret_post' ? 'selected' : '' }}>client_secret_post</option>
+          <option value="none" {{ client.tokenEndpointAuthMethod === 'none' ? 'selected' : '' }}>none ({{ t('admin.clients.public') }})</option>
+        </select>
+      </div>
+
+      <div class="flex items-center justify-end gap-2 pt-2">
+        <a href="/admin/clients" class="rounded-lg border border-gray-300 px-4 py-2 text-sm text-gray-700 hover:bg-gray-50">{{ t('admin.clients.cancel') }}</a>
+        <button type="submit" class="rounded-lg bg-gray-900 px-4 py-2 text-sm font-semibold text-white hover:bg-gray-800">
+          {{ mode === 'edit' ? t('admin.clients.save') : t('admin.clients.create') }}
+        </button>
+      </div>
+    </form>
+  </div>
+</body></html>

package/build/host/views/admin/clients.edge

@@ -21,17 +21,30 @@
       <a href="/admin/audit" class="text-gray-500 hover:underline">{{ t('admin.nav.audit') }}</a>
     </nav>
 
+    @if(createdSecret)
+      <div class="mb-6 rounded-lg border border-emerald-300 bg-emerald-50 p-4 text-sm text-emerald-900">
+        <p class="font-semibold">{{ t('admin.clients.secret_once_title') }}</p>
+        <p class="mt-1">{{ t('admin.clients.secret_once_notice') }}</p>
+        <p class="mt-2 break-all font-mono text-xs">
+          <span class="text-emerald-700">client_id:</span> {{ createdSecret.clientId }}<br>
+          <span class="text-emerald-700">client_secret:</span> {{ createdSecret.clientSecret }}
+        </p>
+      </div>
+    @end
+
     @if(dynamicEnabled)
       <div class="mb-6 rounded-lg border border-amber-300 bg-amber-50 p-4 text-sm text-amber-900">
         {{ t('admin.clients.dynamic_notice') }}
       </div>
     @end
 
-    <div class="overflow-hidden rounded-xl bg-white shadow-sm ring-1 ring-black/5">
-      @if(clients.length === 0)
+    {{-- Clients estáticos (config, somente leitura). --}}
+    <h2 class="mb-2 text-sm font-semibold uppercase tracking-wide text-gray-500">{{ t('admin.clients.static_section') }}</h2>
+    <div class="mb-8 overflow-hidden rounded-xl bg-white shadow-sm ring-1 ring-black/5">
+      @if(staticClients.length === 0)
         <p class="p-6 text-sm text-gray-500">{{ t('admin.clients.empty') }}</p>
       @else
-        @each(client in clients)
+        @each(client in staticClients)
           <div class="border-b border-gray-100 p-4 last:border-0">
             <div class="flex items-center justify-between">
               <p class="text-sm font-medium text-gray-900">{{ client.clientId }}</p>
@@ -47,5 +60,57 @@
         @end
       @end
     </div>
+
+    {{-- Clients dinâmicos (adapter, com CRUD). --}}
+    <div class="mb-2 flex items-center justify-between">
+      <h2 class="text-sm font-semibold uppercase tracking-wide text-gray-500">{{ t('admin.clients.dynamic_section') }}</h2>
+      @if(dynamicSupported)
+        <a href="/admin/clients/new" class="rounded-lg bg-gray-900 px-3 py-1.5 text-sm font-semibold text-white hover:bg-gray-800">
+          {{ t('admin.clients.new') }}
+        </a>
+      @end
+    </div>
+
+    @if(!dynamicSupported)
+      <div class="rounded-xl bg-white p-6 text-sm text-gray-500 shadow-sm ring-1 ring-black/5">
+        {{ t('admin.clients.dynamic_not_supported') }}
+      </div>
+    @else
+      <div class="overflow-hidden rounded-xl bg-white shadow-sm ring-1 ring-black/5">
+        @if(dynamicClients.length === 0)
+          <p class="p-6 text-sm text-gray-500">{{ t('admin.clients.dynamic_empty') }}</p>
+        @else
+          @each(client in dynamicClients)
+            <div class="border-b border-gray-100 p-4 last:border-0">
+              <div class="flex items-center justify-between gap-2">
+                <p class="break-all text-sm font-medium text-gray-900">{{ client.clientId }}</p>
+                <span class="shrink-0 rounded-full px-2 py-0.5 text-xs {{ client.confidential ? 'bg-gray-900 text-white' : 'bg-gray-100 text-gray-600' }}">
+                  {{ client.confidential ? t('admin.clients.confidential') : t('admin.clients.public') }}
+                </span>
+              </div>
+              <p class="mt-1 text-xs text-gray-500">{{ t('admin.clients.grants', { grants: client.grants.join(', ') }) }}</p>
+              @if(client.redirectUris.length > 0)
+                <p class="text-xs text-gray-400">{{ t('admin.clients.redirect_uris', { uris: client.redirectUris.join(', ') }) }}</p>
+              @end
+              <div class="mt-3 flex flex-wrap items-center gap-2">
+                <a href="/admin/clients/{{ client.clientId }}/edit" class="rounded border border-gray-300 px-3 py-1 text-xs hover:bg-gray-50">
+                  {{ t('admin.clients.edit') }}
+                </a>
+                @if(client.confidential)
+                  <form method="POST" action="/admin/clients/{{ client.clientId }}/regenerate-secret" onsubmit="return confirm('{{ t('admin.clients.regenerate_confirm') }}')">
+                    <input type="hidden" name="_csrf" value="{{ csrfToken }}">
+                    <button type="submit" class="rounded border border-gray-300 px-3 py-1 text-xs hover:bg-gray-50">{{ t('admin.clients.regenerate_secret') }}</button>
+                  </form>
+                @end
+                <form method="POST" action="/admin/clients/{{ client.clientId }}/delete" onsubmit="return confirm('{{ t('admin.clients.delete_confirm') }}')">
+                  <input type="hidden" name="_csrf" value="{{ csrfToken }}">
+                  <button type="submit" class="rounded border border-red-300 px-3 py-1 text-xs text-red-700 hover:bg-red-50">{{ t('admin.clients.delete') }}</button>
+                </form>
+              </div>
+            </div>
+          @end
+        @end
+      </div>
+    @end
   </div>
 </body></html>

package/build/src/adapters/adapter_contract.d.ts

@@ -6,6 +6,11 @@ export interface OidcPayload {
     uid?: string;
     consumed?: unknown;
 }
+/** Um client OIDC enumerado do adapter (id + payload de metadata persistido). */
+export interface EnumeratedClient {
+    clientId: string;
+    payload: Record<string, unknown>;
+}
 /** Contrato que o oidc-provider espera de um adapter (um por model). */
 export interface OidcAdapter {
     upsert(id: string, payload: OidcPayload, expiresIn: number): Promise<void>;
@@ -15,4 +20,11 @@ export interface OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumera os artefatos do model deste adapter — usado SÓ para o model `Client`
+     * pelo console admin, para listar clients persistidos (registro dinâmico/CRUD).
+     * Capacidade OPCIONAL (estilo `AuditSink.list`): adapters que não conseguem
+     * enumerar de forma barata omitem o método e a UI degrada graciosamente.
+     */
+    listClients?(): Promise<EnumeratedClient[]>;
 }

package/build/src/adapters/database_adapter.d.ts

@@ -1,5 +1,5 @@
 import type { Database } from '@adonisjs/lucid/database';
-import type { OidcAdapter, OidcPayload } from './adapter_contract.js';
+import type { EnumeratedClient, OidcAdapter, OidcPayload } from './adapter_contract.js';
 export declare class DatabaseAdapter implements OidcAdapter {
     #private;
     private name;
@@ -12,4 +12,11 @@ export declare class DatabaseAdapter implements OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumera os clients persistidos (registro dinâmico ou CRUD do console admin).
+     * Filtra por `model_name = this.name` (sempre 'Client' aqui) e descarta linhas
+     * expiradas — clients são persistidos sem TTL (`expires_at` NULL), então isso
+     * só é uma rede de segurança caso algum dia algo grave o model com expiração.
+     */
+    listClients(): Promise<EnumeratedClient[]>;
 }

package/build/src/adapters/database_adapter.js

@@ -60,4 +60,21 @@ export class DatabaseAdapter {
     async revokeByGrantId(grantId) {
         await this.db.query().from(TABLE).where('grant_id', grantId).delete();
     }
+    /**
+     * Enumera os clients persistidos (registro dinâmico ou CRUD do console admin).
+     * Filtra por `model_name = this.name` (sempre 'Client' aqui) e descarta linhas
+     * expiradas — clients são persistidos sem TTL (`expires_at` NULL), então isso
+     * só é uma rede de segurança caso algum dia algo grave o model com expiração.
+     */
+    async listClients() {
+        const rows = await this.#query().orderBy('id', 'asc');
+        const now = Date.now();
+        const result = [];
+        for (const row of rows) {
+            if (row.expires_at && new Date(row.expires_at).getTime() <= now)
+                continue;
+            result.push({ clientId: row.id, payload: JSON.parse(row.payload) });
+        }
+        return result;
+    }
 }

package/build/src/adapters/redis_adapter.d.ts

@@ -1,5 +1,5 @@
 import type { Redis } from 'ioredis';
-import type { OidcAdapter, OidcPayload } from './adapter_contract.js';
+import type { EnumeratedClient, OidcAdapter, OidcPayload } from './adapter_contract.js';
 export declare class RedisAdapter implements OidcAdapter {
     #private;
     private name;
@@ -13,4 +13,11 @@ export declare class RedisAdapter implements OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumera os clients persistidos via SCAN sobre o prefixo de chave do model
+     * (`<prefix>:Client:*`). É limpo porque cada artefato é uma chave única já
+     * namespaceada por `prefix` + `name`; SCAN é não-bloqueante (cursor) ao
+     * contrário de KEYS. Usado apenas pelo console admin (model 'Client').
+     */
+    listClients(): Promise<EnumeratedClient[]>;
 }

package/build/src/adapters/redis_adapter.js

@@ -92,4 +92,30 @@ export class RedisAdapter {
         multi.del(gk);
         await multi.exec();
     }
+    /**
+     * Enumera os clients persistidos via SCAN sobre o prefixo de chave do model
+     * (`<prefix>:Client:*`). É limpo porque cada artefato é uma chave única já
+     * namespaceada por `prefix` + `name`; SCAN é não-bloqueante (cursor) ao
+     * contrário de KEYS. Usado apenas pelo console admin (model 'Client').
+     */
+    async listClients() {
+        const prefix = `${this.prefix}:${this.name}:`;
+        const result = [];
+        let cursor = '0';
+        do {
+            const [next, keys] = await this.redis.scan(cursor, 'MATCH', `${prefix}*`, 'COUNT', 100);
+            cursor = next;
+            for (const key of keys) {
+                const data = await this.redis.get(key);
+                if (!data)
+                    continue;
+                result.push({
+                    clientId: key.slice(prefix.length),
+                    payload: JSON.parse(data),
+                });
+            }
+        } while (cursor !== '0');
+        result.sort((a, b) => a.clientId.localeCompare(b.clientId));
+        return result;
+    }
 }

package/build/src/audit/audit_sink.d.ts

@@ -1,7 +1,7 @@
 /**
  * Tipos de eventos de auditoria relevantes para segurança emitidos pelo IdP.
  */
-export type AuditEventType = 'login.success' | 'login.failure' | 'signup' | 'password_reset.issued' | 'password_reset.consumed' | 'pat.issued' | 'pat.revoked' | 'pat.used' | 'impersonation' | 'mfa.enabled' | 'mfa.disabled' | 'account.locked' | 'passkey.registered' | 'passkey.removed' | 'email_verification.issued' | 'email_verification.consumed';
+export type AuditEventType = 'login.success' | 'login.failure' | 'signup' | 'password_reset.issued' | 'password_reset.consumed' | 'pat.issued' | 'pat.revoked' | 'pat.used' | 'impersonation' | 'mfa.enabled' | 'mfa.disabled' | 'account.locked' | 'passkey.registered' | 'passkey.removed' | 'email_verification.issued' | 'email_verification.consumed' | 'client.created' | 'client.updated' | 'client.deleted';
 /**
  * Evento de auditoria a registrar. O timestamp é definido pelo sink (não aqui).
  */

package/build/src/host/admin_clients_service.d.ts

@@ -0,0 +1,65 @@
+import type { OidcService } from '../provider/oidc_service.js';
+/** Métodos de autenticação no token endpoint suportados pelo formulário admin. */
+export type TokenEndpointAuthMethod = 'client_secret_basic' | 'client_secret_post' | 'none';
+/** Entrada normalizada de um client gerenciável (vinda do formulário admin). */
+export interface ClientInput {
+    clientId?: string;
+    redirectUris: string[];
+    postLogoutRedirectUris: string[];
+    grantTypes: string[];
+    tokenEndpointAuthMethod: TokenEndpointAuthMethod;
+}
+/** Client persistido, apresentado ao console admin. */
+export interface AdminClient {
+    clientId: string;
+    confidential: boolean;
+    grants: string[];
+    redirectUris: string[];
+    postLogoutRedirectUris: string[];
+    tokenEndpointAuthMethod: string;
+}
+/** Resultado de uma criação: o client + o secret em claro (mostrado UMA vez). */
+export interface CreatedClient {
+    clientId: string;
+    /** undefined para public clients (sem secret). */
+    clientSecret?: string;
+}
+/**
+ * Serviço de CRUD de clients OIDC persistidos no adapter (model `Client`),
+ * usado pelo console admin. Encapsula:
+ *   - a montagem do payload NA FORMA EXATA que o oidc-provider espera (snake_case,
+ *     igual ao que o registro dinâmico — RFC 7591 — grava);
+ *   - a invalidação do cache de clients dinâmicos do provider após cada escrita
+ *     (ver {@link OidcService.evictDynamicClientCache});
+ *   - a enumeração via a capacidade opcional `listClients` do adapter.
+ */
+export declare class AdminClientsService {
+    #private;
+    private oidc;
+    constructor(oidc: OidcService);
+    /** Indica se o adapter suporta enumeração (capacidade opcional). */
+    get canList(): boolean;
+    /** Lista os clients persistidos (vazio quando o adapter não enumera; cheque canList). */
+    list(): Promise<AdminClient[]>;
+    /** Lê um client persistido pelo client_id (undefined quando não existe). */
+    find(clientId: string): Promise<AdminClient | undefined>;
+    /**
+     * Cria um client. Gera client_id quando não informado; gera client_secret
+     * para clients confidenciais (auth method != 'none'). Retorna o secret em
+     * claro UMA vez (não é recuperável depois — o payload guarda o mesmo valor).
+     */
+    create(input: ClientInput): Promise<CreatedClient>;
+    /**
+     * Atualiza metadata editável (redirect/post-logout URIs, grants, auth method)
+     * PRESERVANDO o client_secret existente. Lança se o client não existe.
+     */
+    update(clientId: string, input: ClientInput): Promise<void>;
+    /**
+     * Regenera o client_secret de um client confidencial, preservando o resto da
+     * metadata. Retorna o novo secret em claro (mostrado UMA vez). Lança se o
+     * client não existe ou é public (auth method 'none').
+     */
+    regenerateSecret(clientId: string): Promise<string>;
+    /** Remove um client persistido e invalida o cache. */
+    delete(clientId: string): Promise<void>;
+}

package/build/src/host/admin_clients_service.js

@@ -0,0 +1,136 @@
+import { randomBytes } from 'node:crypto';
+/** Métodos públicos (sem segredo) — espelham os "non-secret" do oidc-provider. */
+const PUBLIC_AUTH_METHODS = new Set(['none']);
+/** Gera um identificador opaco no estilo do oidc-provider (~43 chars base64url). */
+function randomId() {
+    return randomBytes(32).toString('base64url');
+}
+/**
+ * Serviço de CRUD de clients OIDC persistidos no adapter (model `Client`),
+ * usado pelo console admin. Encapsula:
+ *   - a montagem do payload NA FORMA EXATA que o oidc-provider espera (snake_case,
+ *     igual ao que o registro dinâmico — RFC 7591 — grava);
+ *   - a invalidação do cache de clients dinâmicos do provider após cada escrita
+ *     (ver {@link OidcService.evictDynamicClientCache});
+ *   - a enumeração via a capacidade opcional `listClients` do adapter.
+ */
+export class AdminClientsService {
+    oidc;
+    #adapter;
+    constructor(oidc) {
+        this.oidc = oidc;
+        // O AdapterClass é o MESMO que o provider usa; instanciamos o model 'Client'
+        // para ler/gravar os mesmos artefatos que o oidc-provider persiste.
+        this.#adapter = new oidc.config.AdapterClass('Client');
+    }
+    /** Indica se o adapter suporta enumeração (capacidade opcional). */
+    get canList() {
+        return typeof this.#adapter.listClients === 'function';
+    }
+    /** Lista os clients persistidos (vazio quando o adapter não enumera; cheque canList). */
+    async list() {
+        if (!this.#adapter.listClients)
+            return [];
+        const rows = await this.#adapter.listClients();
+        return rows.map((r) => this.#present(r));
+    }
+    /** Lê um client persistido pelo client_id (undefined quando não existe). */
+    async find(clientId) {
+        const payload = await this.#adapter.find(clientId);
+        if (!payload)
+            return undefined;
+        return this.#present({ clientId, payload: payload });
+    }
+    /**
+     * Cria um client. Gera client_id quando não informado; gera client_secret
+     * para clients confidenciais (auth method != 'none'). Retorna o secret em
+     * claro UMA vez (não é recuperável depois — o payload guarda o mesmo valor).
+     */
+    async create(input) {
+        const clientId = (input.clientId ?? '').trim() || randomId();
+        const confidential = !PUBLIC_AUTH_METHODS.has(input.tokenEndpointAuthMethod);
+        const clientSecret = confidential ? randomId() : undefined;
+        const payload = this.#buildPayload(clientId, input, clientSecret);
+        // expiresIn 0 => sem TTL (clients são permanentes, como no registro dinâmico).
+        await this.#adapter.upsert(clientId, payload, 0);
+        await this.oidc.evictDynamicClientCache();
+        return { clientId, clientSecret };
+    }
+    /**
+     * Atualiza metadata editável (redirect/post-logout URIs, grants, auth method)
+     * PRESERVANDO o client_secret existente. Lança se o client não existe.
+     */
+    async update(clientId, input) {
+        const existing = await this.#adapter.find(clientId);
+        if (!existing)
+            throw new Error(`client ${clientId} não encontrado`);
+        const previousSecret = existing.client_secret;
+        const confidential = !PUBLIC_AUTH_METHODS.has(input.tokenEndpointAuthMethod);
+        // Mantém o secret atual se continua confidencial; se virou public, remove-o.
+        const clientSecret = confidential ? (previousSecret ?? randomId()) : undefined;
+        const payload = this.#buildPayload(clientId, input, clientSecret);
+        await this.#adapter.upsert(clientId, payload, 0);
+        await this.oidc.evictDynamicClientCache();
+    }
+    /**
+     * Regenera o client_secret de um client confidencial, preservando o resto da
+     * metadata. Retorna o novo secret em claro (mostrado UMA vez). Lança se o
+     * client não existe ou é public (auth method 'none').
+     */
+    async regenerateSecret(clientId) {
+        const existing = await this.#adapter.find(clientId);
+        if (!existing)
+            throw new Error(`client ${clientId} não encontrado`);
+        const authMethod = existing.token_endpoint_auth_method ?? 'client_secret_basic';
+        if (PUBLIC_AUTH_METHODS.has(authMethod)) {
+            throw new Error(`client ${clientId} é public — não possui secret`);
+        }
+        const clientSecret = randomId();
+        const payload = { ...existing, client_secret: clientSecret };
+        await this.#adapter.upsert(clientId, payload, 0);
+        await this.oidc.evictDynamicClientCache();
+        return clientSecret;
+    }
+    /** Remove um client persistido e invalida o cache. */
+    async delete(clientId) {
+        await this.#adapter.destroy(clientId);
+        await this.oidc.evictDynamicClientCache();
+    }
+    /**
+     * Monta o payload na forma snake_case que o oidc-provider espera/persiste —
+     * verificada contra o que o registro dinâmico (RFC 7591) grava. As chaves de
+     * metadata não enviadas (subject_type, id_token_signed_response_alg, etc.) são
+     * preenchidas pelo Schema do provider ao construir o Client em `find`.
+     */
+    #buildPayload(clientId, input, clientSecret) {
+        const grantTypes = input.grantTypes.length
+            ? input.grantTypes
+            : ['authorization_code', 'refresh_token'];
+        // response_types: 'code' quando o fluxo de authorization_code está presente.
+        const responseTypes = grantTypes.includes('authorization_code') ? ['code'] : [];
+        const payload = {
+            client_id: clientId,
+            redirect_uris: input.redirectUris,
+            post_logout_redirect_uris: input.postLogoutRedirectUris,
+            grant_types: grantTypes,
+            response_types: responseTypes,
+            token_endpoint_auth_method: input.tokenEndpointAuthMethod,
+        };
+        if (clientSecret)
+            payload.client_secret = clientSecret;
+        return payload;
+    }
+    /** Projeta um payload persistido para a forma exibida no console admin. */
+    #present(row) {
+        const p = row.payload;
+        const authMethod = p.token_endpoint_auth_method ?? 'client_secret_basic';
+        return {
+            clientId: row.clientId,
+            confidential: !!p.client_secret,
+            grants: p.grant_types ?? ['authorization_code', 'refresh_token'],
+            redirectUris: p.redirect_uris ?? [],
+            postLogoutRedirectUris: p.post_logout_redirect_uris ?? [],
+            tokenEndpointAuthMethod: authMethod,
+        };
+    }
+}

package/build/src/host/controllers/admin/admin_clients_controller.d.ts

@@ -1,10 +1,24 @@
 import '../../augmentations.js';
 import type { HttpContext } from '@adonisjs/core/http';
 /**
- * Listagem de OAuth clients. Mostra os clients ESTÁTICOS da config; clients
- * registrados dinamicamente (RFC 7591) vivem no adapter OIDC e não são listados
- * aqui — a view informa isso quando o registro dinâmico está ligado.
+ * CRUD de clients OIDC no console admin. Mostra os clients ESTÁTICOS da config
+ * (somente leitura, rotulados) lado a lado com os clients DINÂMICOS persistidos
+ * no adapter (registro dinâmico/RFC 7591 + os criados aqui). Quando o adapter não
+ * suporta enumeração (`listClients`), a seção dinâmica degrada graciosamente —
+ * espelhando o padrão da tela de auditoria.
  */
 export default class AdminClientsController {
     index(ctx: HttpContext): Promise<any>;
+    /** Formulário de criação. */
+    create(ctx: HttpContext): Promise<any>;
+    /** Persiste um client novo; mostra o secret UMA vez via flash. */
+    store(ctx: HttpContext): Promise<void>;
+    /** Formulário de edição de um client persistido. */
+    edit(ctx: HttpContext): Promise<any>;
+    /** Atualiza metadata editável (NÃO o secret). */
+    update(ctx: HttpContext): Promise<void>;
+    /** Regenera o secret de um client confidencial; mostra o novo valor UMA vez. */
+    regenerateSecret(ctx: HttpContext): Promise<void>;
+    /** Remove um client persistido. */
+    destroy(ctx: HttpContext): Promise<void>;
 }

package/build/src/host/controllers/admin/admin_clients_controller.js

@@ -1,24 +1,178 @@
 import '../../augmentations.js';
+import { ACCOUNT_SESSION_KEY } from '../../middleware/account_auth.js';
+import { AdminClientsService, } from '../../admin_clients_service.js';
+const VALID_GRANTS = ['authorization_code', 'refresh_token', 'client_credentials'];
+const VALID_AUTH_METHODS = [
+    'client_secret_basic',
+    'client_secret_post',
+    'none',
+];
+/** Normaliza um textarea (1 item por linha) numa lista sem vazios nem duplicatas. */
+function parseLines(raw) {
+    return Array.from(new Set(String(raw ?? '')
+        .split(/\r?\n/)
+        .map((l) => l.trim())
+        .filter((l) => l.length > 0)));
+}
+/** Lê os grants marcados no form (checkboxes); cai no default quando nenhum. */
+function parseGrants(ctx) {
+    const raw = ctx.request.input('grant_types', []);
+    const arr = Array.isArray(raw) ? raw : [raw];
+    const filtered = arr.filter((g) => VALID_GRANTS.includes(g));
+    return filtered.length ? filtered : ['authorization_code', 'refresh_token'];
+}
+function parseAuthMethod(ctx) {
+    const raw = ctx.request.input('token_endpoint_auth_method', 'client_secret_basic');
+    return (VALID_AUTH_METHODS.includes(raw)
+        ? raw
+        : 'client_secret_basic');
+}
+function readInput(ctx) {
+    return {
+        clientId: ctx.request.input('client_id', '').trim() || undefined,
+        redirectUris: parseLines(ctx.request.input('redirect_uris')),
+        postLogoutRedirectUris: parseLines(ctx.request.input('post_logout_redirect_uris')),
+        grantTypes: parseGrants(ctx),
+        tokenEndpointAuthMethod: parseAuthMethod(ctx),
+    };
+}
 /**
- * Listagem de OAuth clients. Mostra os clients ESTÁTICOS da config; clients
- * registrados dinamicamente (RFC 7591) vivem no adapter OIDC e não são listados
- * aqui — a view informa isso quando o registro dinâmico está ligado.
+ * CRUD de clients OIDC no console admin. Mostra os clients ESTÁTICOS da config
+ * (somente leitura, rotulados) lado a lado com os clients DINÂMICOS persistidos
+ * no adapter (registro dinâmico/RFC 7591 + os criados aqui). Quando o adapter não
+ * suporta enumeração (`listClients`), a seção dinâmica degrada graciosamente —
+ * espelhando o padrão da tela de auditoria.
  */
 export default class AdminClientsController {
     async index(ctx) {
         const service = await ctx.containerResolver.make('authkit.server');
         const cfg = service.config;
         const render = cfg.render;
+        const admin = new AdminClientsService(service);
+        const dynamicSupported = admin.canList;
+        const dynamicClients = dynamicSupported ? await admin.list() : [];
+        const createdSecret = ctx.session.flashMessages.get('createdClientSecret');
         return render(ctx, 'admin/clients', {
             csrfToken: ctx.request.csrfToken,
             dynamicEnabled: cfg.dynamicRegistration.enabled,
-            clients: cfg.clients.map((c) => ({
+            dynamicSupported,
+            createdSecret: createdSecret ?? null,
+            staticClients: cfg.clients.map((c) => ({
                 clientId: c.clientId,
                 confidential: !!c.clientSecret,
                 grants: c.grants ?? ['authorization_code', 'refresh_token'],
                 redirectUris: c.redirectUris ?? [],
                 postLogoutRedirectUris: c.postLogoutRedirectUris ?? [],
             })),
+            dynamicClients,
+        });
+    }
+    /** Formulário de criação. */
+    async create(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const render = service.config.render;
+        return render(ctx, 'admin/client_form', {
+            csrfToken: ctx.request.csrfToken,
+            mode: 'create',
+            client: {
+                clientId: '',
+                redirectUris: [],
+                postLogoutRedirectUris: [],
+                grants: ['authorization_code', 'refresh_token'],
+                tokenEndpointAuthMethod: 'client_secret_basic',
+            },
+        });
+    }
+    /** Persiste um client novo; mostra o secret UMA vez via flash. */
+    async store(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const cfg = service.config;
+        const admin = new AdminClientsService(service);
+        const input = readInput(ctx);
+        const created = await admin.create(input);
+        if (created.clientSecret) {
+            ctx.session.flash('createdClientSecret', {
+                clientId: created.clientId,
+                clientSecret: created.clientSecret,
+            });
+        }
+        await cfg.audit?.record({
+            type: 'client.created',
+            clientId: created.clientId,
+            actorId: ctx.session.get(ACCOUNT_SESSION_KEY) ?? null,
+            ip: ctx.request.ip?.() ?? null,
+        });
+        return ctx.response.redirect('/admin/clients');
+    }
+    /** Formulário de edição de um client persistido. */
+    async edit(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const render = service.config.render;
+        const admin = new AdminClientsService(service);
+        const clientId = ctx.request.param('id');
+        const client = await admin.find(clientId);
+        if (!client)
+            return ctx.response.redirect('/admin/clients');
+        return render(ctx, 'admin/client_form', {
+            csrfToken: ctx.request.csrfToken,
+            mode: 'edit',
+            client,
+        });
+    }
+    /** Atualiza metadata editável (NÃO o secret). */
+    async update(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const cfg = service.config;
+        const admin = new AdminClientsService(service);
+        const clientId = ctx.request.param('id');
+        const existing = await admin.find(clientId);
+        if (!existing)
+            return ctx.response.redirect('/admin/clients');
+        const input = { ...readInput(ctx), clientId };
+        await admin.update(clientId, input);
+        await cfg.audit?.record({
+            type: 'client.updated',
+            clientId,
+            actorId: ctx.session.get(ACCOUNT_SESSION_KEY) ?? null,
+            ip: ctx.request.ip?.() ?? null,
+        });
+        return ctx.response.redirect('/admin/clients');
+    }
+    /** Regenera o secret de um client confidencial; mostra o novo valor UMA vez. */
+    async regenerateSecret(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const cfg = service.config;
+        const admin = new AdminClientsService(service);
+        const clientId = ctx.request.param('id');
+        try {
+            const secret = await admin.regenerateSecret(clientId);
+            ctx.session.flash('createdClientSecret', { clientId, clientSecret: secret });
+            await cfg.audit?.record({
+                type: 'client.updated',
+                clientId,
+                actorId: ctx.session.get(ACCOUNT_SESSION_KEY) ?? null,
+                ip: ctx.request.ip?.() ?? null,
+                metadata: { action: 'regenerate_secret' },
+            });
+        }
+        catch {
+            // client inexistente ou public — sem secret a regenerar; volta silenciosamente.
+        }
+        return ctx.response.redirect('/admin/clients');
+    }
+    /** Remove um client persistido. */
+    async destroy(ctx) {
+        const service = await ctx.containerResolver.make('authkit.server');
+        const cfg = service.config;
+        const admin = new AdminClientsService(service);
+        const clientId = ctx.request.param('id');
+        await admin.delete(clientId);
+        await cfg.audit?.record({
+            type: 'client.deleted',
+            clientId,
+            actorId: ctx.session.get(ACCOUNT_SESSION_KEY) ?? null,
+            ip: ctx.request.ip?.() ?? null,
         });
+        return ctx.response.redirect('/admin/clients');
     }
 }

package/build/src/host/i18n.d.ts

@@ -148,6 +148,33 @@ export declare const DEFAULT_MESSAGES: {
     'admin.clients.grants': string;
     'admin.clients.redirect_uris': string;
     'admin.clients.dynamic_notice': string;
+    'admin.clients.static_section': string;
+    'admin.clients.dynamic_section': string;
+    'admin.clients.dynamic_empty': string;
+    'admin.clients.dynamic_not_supported': string;
+    'admin.clients.new': string;
+    'admin.clients.new_title': string;
+    'admin.clients.edit_title': string;
+    'admin.clients.edit': string;
+    'admin.clients.delete': string;
+    'admin.clients.delete_confirm': string;
+    'admin.clients.regenerate_secret': string;
+    'admin.clients.regenerate_confirm': string;
+    'admin.clients.back': string;
+    'admin.clients.cancel': string;
+    'admin.clients.save': string;
+    'admin.clients.create': string;
+    'admin.clients.secret_once_title': string;
+    'admin.clients.secret_once_notice': string;
+    'admin.clients.field_client_id': string;
+    'admin.clients.field_client_id_placeholder': string;
+    'admin.clients.field_client_id_help': string;
+    'admin.clients.field_redirect_uris': string;
+    'admin.clients.field_redirect_uris_help': string;
+    'admin.clients.field_post_logout_uris': string;
+    'admin.clients.field_post_logout_uris_help': string;
+    'admin.clients.field_grant_types': string;
+    'admin.clients.field_auth_method': string;
     'admin.audit.page_title': string;
     'admin.audit.title': string;
     'admin.audit.type_placeholder': string;

package/build/src/host/i18n.js

@@ -153,7 +153,34 @@ export const DEFAULT_MESSAGES = {
     'admin.clients.public': 'Público',
     'admin.clients.grants': 'Grants: {grants}',
     'admin.clients.redirect_uris': 'Redirects: {uris}',
-    'admin.clients.dynamic_notice': 'O registro dinâmico de clients está ligado — clients registrados via /reg vivem no adapter e não aparecem nesta lista.',
+    'admin.clients.dynamic_notice': 'O registro dinâmico de clients (RFC 7591) está ligado — clients registrados via /reg são persistidos no adapter e aparecem na seção dinâmica abaixo.',
+    'admin.clients.static_section': 'Clients estáticos (config)',
+    'admin.clients.dynamic_section': 'Clients dinâmicos (adapter)',
+    'admin.clients.dynamic_empty': 'Nenhum client dinâmico persistido.',
+    'admin.clients.dynamic_not_supported': 'O adapter OIDC configurado não suporta enumeração de clients — a gestão dinâmica fica indisponível.',
+    'admin.clients.new': 'Novo client',
+    'admin.clients.new_title': 'Novo client OIDC',
+    'admin.clients.edit_title': 'Editar client OIDC',
+    'admin.clients.edit': 'Editar',
+    'admin.clients.delete': 'Excluir',
+    'admin.clients.delete_confirm': 'Excluir este client? Esta ação não pode ser desfeita.',
+    'admin.clients.regenerate_secret': 'Regenerar secret',
+    'admin.clients.regenerate_confirm': 'Regenerar o secret? O secret atual deixará de funcionar imediatamente.',
+    'admin.clients.back': 'Voltar',
+    'admin.clients.cancel': 'Cancelar',
+    'admin.clients.save': 'Salvar',
+    'admin.clients.create': 'Criar client',
+    'admin.clients.secret_once_title': 'Guarde o client_secret agora',
+    'admin.clients.secret_once_notice': 'Este é o único momento em que o secret é exibido. Copie-o agora — ele não pode ser recuperado depois.',
+    'admin.clients.field_client_id': 'Client ID',
+    'admin.clients.field_client_id_placeholder': 'deixe em branco para gerar automaticamente',
+    'admin.clients.field_client_id_help': 'Opcional. Se vazio, um identificador aleatório será gerado.',
+    'admin.clients.field_redirect_uris': 'Redirect URIs',
+    'admin.clients.field_redirect_uris_help': 'Uma URI por linha.',
+    'admin.clients.field_post_logout_uris': 'Post-logout redirect URIs',
+    'admin.clients.field_post_logout_uris_help': 'Uma URI por linha (opcional).',
+    'admin.clients.field_grant_types': 'Grant types',
+    'admin.clients.field_auth_method': 'Token endpoint auth method',
     // Console admin — auditoria.
     'admin.audit.page_title': 'Auditoria',
     'admin.audit.title': 'Log de auditoria',

package/build/src/host/register_auth_host.js

@@ -133,6 +133,14 @@ export function registerAuthHost(router, opts) {
             router.get('/admin/users', [C.adminUsers, 'index']);
             router.post('/admin/users/:id/roles', [C.adminUsers, 'updateRoles']);
             router.get('/admin/clients', [C.adminClients, 'index']);
+            // CRUD de clients OIDC (adapter-backed). `/new` ANTES de `:id` p/ não casar
+            // "new" como id; todas as escritas são POST (com _csrf na view).
+            router.get('/admin/clients/new', [C.adminClients, 'create']);
+            router.post('/admin/clients', [C.adminClients, 'store']);
+            router.get('/admin/clients/:id/edit', [C.adminClients, 'edit']);
+            router.post('/admin/clients/:id/edit', [C.adminClients, 'update']);
+            router.post('/admin/clients/:id/regenerate-secret', [C.adminClients, 'regenerateSecret']);
+            router.post('/admin/clients/:id/delete', [C.adminClients, 'destroy']);
             router.get('/admin/audit', [C.adminAudit, 'index']);
         })
             .use([adminGuard]);

package/build/src/provider/oidc_service.d.ts

@@ -12,6 +12,21 @@ export declare class OidcService {
     readonly interactions: InteractionActions;
     get config(): ResolvedServerConfig;
     constructor(config: ResolvedServerConfig, appKey: string, recorder?: MetricsRecorder);
+    /**
+     * Invalida o cache de clients DINÂMICOS do oidc-provider (a `dynamicClients`
+     * QuickLRU em `instance(provider)`). DEVE ser chamado após qualquer escrita
+     * (create/update/delete) no model `Client` via adapter, pelo console admin.
+     *
+     * NOTA sobre o porquê: o oidc-provider v9 cacheia clients carregados do adapter
+     * numa LRU CUJA CHAVE É O HASH (sha256) DO PAYLOAD persistido — não o client_id.
+     * Por isso uma alteração de metadata já é "auto-invalidante": `Client.find` relê o
+     * adapter, hasheia o payload NOVO, dá cache-miss e reconstrói o client. Mesmo assim
+     * limpamos a LRU explicitamente para (a) tornar o efeito imediato e determinístico
+     * (sem depender de pressão de LRU para expulsar a entrada antiga, agora inalcançável)
+     * e (b) liberar a entrada órfã na hora. É o caminho de invalidação suportado: a LRU
+     * é um detalhe interno acessível via o helper `weak_cache` do próprio provider.
+     */
+    evictDynamicClientCache(): Promise<void>;
     /** Verifica client_id + client_secret contra os clients da config (p/ endpoints custom como introspecção de PAT). */
     verifyClientCredentials(clientId: string, clientSecret: string): boolean;
 }

package/build/src/provider/oidc_service.js

@@ -72,6 +72,33 @@ export class OidcService {
         }
         this.interactions = createInteractionActions(this.provider, { verifyCredentials: config.verifyCredentials });
     }
+    /**
+     * Invalida o cache de clients DINÂMICOS do oidc-provider (a `dynamicClients`
+     * QuickLRU em `instance(provider)`). DEVE ser chamado após qualquer escrita
+     * (create/update/delete) no model `Client` via adapter, pelo console admin.
+     *
+     * NOTA sobre o porquê: o oidc-provider v9 cacheia clients carregados do adapter
+     * numa LRU CUJA CHAVE É O HASH (sha256) DO PAYLOAD persistido — não o client_id.
+     * Por isso uma alteração de metadata já é "auto-invalidante": `Client.find` relê o
+     * adapter, hasheia o payload NOVO, dá cache-miss e reconstrói o client. Mesmo assim
+     * limpamos a LRU explicitamente para (a) tornar o efeito imediato e determinístico
+     * (sem depender de pressão de LRU para expulsar a entrada antiga, agora inalcançável)
+     * e (b) liberar a entrada órfã na hora. É o caminho de invalidação suportado: a LRU
+     * é um detalhe interno acessível via o helper `weak_cache` do próprio provider.
+     */
+    async evictDynamicClientCache() {
+        try {
+            const wc = await import('oidc-provider/lib/helpers/weak_cache.js');
+            const get = wc.default ?? wc.get;
+            const int = get(this.provider);
+            int?.dynamicClients?.clear?.();
+        }
+        catch {
+            // Estrutura interna mudou numa versão futura do oidc-provider: a invalidação por
+            // hash-de-conteúdo (acima) continua garantindo correção; só perdemos a expulsão
+            // imediata da entrada órfã. Best-effort — não propaga erro pro caminho da request.
+        }
+    }
     /** Verifica client_id + client_secret contra os clients da config (p/ endpoints custom como introspecção de PAT). */
     verifyClientCredentials(clientId, clientSecret) {
         const client = this.#clients.find((c) => c.clientId === clientId);

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@dudousxd/adonis-authkit-server",
-  "version": "0.2.0",
+  "version": "0.3.0",
   "description": "AdonisJS OIDC/OAuth2 provider (Identity Provider) toolkit: ejectable auth server with sessions, rate-limiting, MFA/TOTP, audit log, federated logout and OpenTelemetry metrics.",
   "license": "MIT",
   "author": "dudousxd",