@dudousxd/adonis-authkit-server 0.2.0 → 0.4.0

package/build/host/views/mfa-challenge.edge

@@ -14,20 +14,24 @@
         <p class="mt-4 text-sm text-red-600">{{ error }}</p>
       @end
 
-      <div class="mt-6">
-        <label for="code" class="mb-1 block text-sm font-medium text-gray-700">{{ t('mfa_challenge.code_label') }}</label>
-        <input id="code" name="code" inputmode="numeric" autocomplete="one-time-code"
-          pattern="[0-9]*" maxlength="6" autofocus
-          class="w-full rounded-lg border border-gray-300 px-3 py-2 text-center text-lg tracking-[0.4em] outline-none transition focus:border-gray-900 focus:ring-2 focus:ring-gray-900" />
-      </div>
+      {{-- Step-up sem MFA enrolado: bloqueia o login e instrui a configurar o MFA;
+           não renderiza o campo de código (não há 2º fator a desafiar). --}}
+      @if(!noEnrollment)
+        <div class="mt-6">
+          <label for="code" class="mb-1 block text-sm font-medium text-gray-700">{{ t('mfa_challenge.code_label') }}</label>
+          <input id="code" name="code" inputmode="numeric" autocomplete="one-time-code"
+            pattern="[0-9]*" maxlength="6" autofocus
+            class="w-full rounded-lg border border-gray-300 px-3 py-2 text-center text-lg tracking-[0.4em] outline-none transition focus:border-gray-900 focus:ring-2 focus:ring-gray-900" />
+        </div>
 
-      <button type="submit"
-        class="mt-6 w-full rounded-lg bg-gray-900 py-2.5 text-sm font-semibold text-white transition hover:opacity-90">
-        {{ t('mfa_challenge.submit') }}
-      </button>
+        <button type="submit"
+          class="mt-6 w-full rounded-lg bg-gray-900 py-2.5 text-sm font-semibold text-white transition hover:opacity-90">
+          {{ t('mfa_challenge.submit') }}
+        </button>
+      @end
     </form>
 
-    @if(passkeyAvailable)
+    @if(passkeyAvailable && !noEnrollment)
       {{-- Passkey como alternativa ao código TOTP. O form é submetido por página
            inteira (não fetch) para que o 303 de volta ao client navegue o browser. --}}
       <form id="passkey-form" method="POST" action="/auth/interaction/{{ uid }}/passkey/verify" class="mt-4">
@@ -41,18 +45,20 @@
       <p id="passkey-error" class="mt-3 hidden text-sm text-red-600">{{ t('mfa_challenge.passkey_error') }}</p>
     @end
 
-    <details class="mt-6 text-sm text-gray-600">
-      <summary class="cursor-pointer hover:underline">{{ t('mfa_challenge.recovery_summary') }}</summary>
-      <form method="POST" action="/auth/interaction/{{ uid }}/mfa" class="mt-3">
-        <input type="hidden" name="_csrf" value="{{ csrfToken }}">
-        <input name="recoveryCode" placeholder="xxxxx-xxxxx"
-          class="w-full rounded-lg border border-gray-300 px-3 py-2 text-sm outline-none focus:border-gray-900" />
-        <button type="submit"
-          class="mt-3 w-full rounded-lg border border-gray-300 py-2.5 text-sm font-semibold text-gray-700 transition hover:bg-gray-50">
-          {{ t('mfa_challenge.recovery_submit') }}
-        </button>
-      </form>
-    </details>
+    @if(!noEnrollment)
+      <details class="mt-6 text-sm text-gray-600">
+        <summary class="cursor-pointer hover:underline">{{ t('mfa_challenge.recovery_summary') }}</summary>
+        <form method="POST" action="/auth/interaction/{{ uid }}/mfa" class="mt-3">
+          <input type="hidden" name="_csrf" value="{{ csrfToken }}">
+          <input name="recoveryCode" placeholder="xxxxx-xxxxx"
+            class="w-full rounded-lg border border-gray-300 px-3 py-2 text-sm outline-none focus:border-gray-900" />
+          <button type="submit"
+            class="mt-3 w-full rounded-lg border border-gray-300 py-2.5 text-sm font-semibold text-gray-700 transition hover:bg-gray-50">
+            {{ t('mfa_challenge.recovery_submit') }}
+          </button>
+        </form>
+      </details>
+    @end
   </div>
 
   @if(passkeyAvailable)

package/build/index.d.ts

@@ -10,8 +10,8 @@ export { resolveAdmin, resolveWebauthn, resolveDynamicRegistration } from './src
 export type { WebauthnConfigInput, ResolvedWebauthnConfig } from './src/define_config.js';
 export { lucidAccountStore } from './src/accounts/lucid_account_store.js';
 export type { LucidAccountStoreOptions, AccountSecretEncrypter, } from './src/accounts/lucid_account_store.js';
-export type { AccountStore, CoreAccountStore, AdminCapability, MfaCapability, WebauthnCapability, ProviderIdentityCapability, AuthAccount, CreateAccountInput, LinkProviderIdentityInput, ListAccountsParams, Paginated, PasskeySummary, } from './src/accounts/account_store.js';
-export { supportsMfa, supportsPasskeys, supportsProviderIdentity, } from './src/accounts/account_store.js';
+export type { AccountStore, CoreAccountStore, AdminCapability, MfaCapability, WebauthnCapability, ProviderIdentityCapability, AccountSecurityCapability, AuthAccount, CreateAccountInput, LinkProviderIdentityInput, ListAccountsParams, Paginated, PasskeySummary, } from './src/accounts/account_store.js';
+export { supportsMfa, supportsPasskeys, supportsProviderIdentity, supportsAccountSecurity, } from './src/accounts/account_store.js';
 export { withProviderIdentity } from './src/mixins/with_provider_identity.js';
 export type { ProviderIdentityRow, ProviderIdentityClass, } from './src/mixins/with_provider_identity.js';
 export { withWebauthnCredential } from './src/mixins/with_webauthn_credential.js';
@@ -31,7 +31,8 @@ export type { I18nConfig, AuthMessages } from './src/host/i18n.js';
 export type { AuthHostRenderer, AuthSocialConfig } from './src/define_config.js';
 export { registerAuthHost } from './src/host/register_auth_host.js';
 export type { AuthHostOptions } from './src/host/register_auth_host.js';
-export { resolveRateLimit } from './src/define_config.js';
+export { resolveRateLimit, resolveNotifications } from './src/define_config.js';
+export type { NotificationsConfigInput, ResolvedNotificationsConfig, } from './src/define_config.js';
 export type { RateLimitConfigInput, RateLimitBucket, ResolvedRateLimitConfig, } from './src/define_config.js';
 export { createAuthThrottles } from './src/host/rate_limit.js';
 export type { AuthThrottles, ThrottleMiddleware } from './src/host/rate_limit.js';

package/build/index.js

@@ -7,7 +7,7 @@ export { OidcService } from './src/provider/oidc_service.js';
 export { registerOidcRoutes } from './src/register_routes.js';
 export { resolveAdmin, resolveWebauthn, resolveDynamicRegistration } from './src/define_config.js';
 export { lucidAccountStore } from './src/accounts/lucid_account_store.js';
-export { supportsMfa, supportsPasskeys, supportsProviderIdentity, } from './src/accounts/account_store.js';
+export { supportsMfa, supportsPasskeys, supportsProviderIdentity, supportsAccountSecurity, } from './src/accounts/account_store.js';
 export { withProviderIdentity } from './src/mixins/with_provider_identity.js';
 export { withWebauthnCredential } from './src/mixins/with_webauthn_credential.js';
 export { lucidPatStore } from './src/pat/lucid_pat_store.js';
@@ -19,7 +19,7 @@ export { edgeRenderer } from './src/host/renderers/edge_renderer.js';
 export { brandFor, isFirstParty } from './src/host/branding.js';
 export { resolveMessages, translate, DEFAULT_MESSAGES, DEFAULT_LOCALE } from './src/host/i18n.js';
 export { registerAuthHost } from './src/host/register_auth_host.js';
-export { resolveRateLimit } from './src/define_config.js';
+export { resolveRateLimit, resolveNotifications } from './src/define_config.js';
 export { createAuthThrottles } from './src/host/rate_limit.js';
 /**
  * Configure hook + stubsRoot resolvidos pelo `node ace configure @dudousxd/adonis-authkit-server`.

package/build/src/accounts/account_store.d.ts

@@ -83,6 +83,49 @@ export interface AdminCapability {
     /** Substitui as roles globais de uma conta. */
     setGlobalRoles(accountId: string, roles: string[]): Promise<void>;
 }
+/**
+ * Self-service de segurança da conta (console de conta): trocar a senha e o
+ * e-mail (com confirmação no NOVO endereço). É uma CAPACIDADE opcional — stores
+ * sem suporte omitem os métodos e a UI esconde a seção correspondente.
+ *
+ * A troca de e-mail usa um token de confirmação que viaja para o NOVO endereço
+ * ({@link requestEmailChange}) e é consumido por {@link confirmEmailChange}. O
+ * store default (Lucid) reaproveita a coluna `emailVerificationToken` codificando
+ * um payload `ec:<email>:<token>` — assim NÃO exige migração nova (ver
+ * `lucid_store/core.ts`). O tradeoff é que um token de verificação de cadastro e
+ * um de troca de e-mail não coexistem (mesma coluna); na prática são fluxos
+ * distintos no tempo.
+ */
+export interface AccountSecurityCapability {
+    /**
+     * Define uma nova senha para a conta (após o controller confirmar a senha ATUAL
+     * via {@link CoreAccountStore.verifyCredentials}). Retorna false se a conta não
+     * existe.
+     */
+    changePassword(accountId: string, newPassword: string): Promise<boolean>;
+    /**
+     * Inicia a troca de e-mail: gera um token de confirmação para o `newEmail` e o
+     * persiste. Retorna o token + a conta, ou null se a conta não existe OU se o
+     * `newEmail` já pertence a outra conta.
+     */
+    requestEmailChange(accountId: string, newEmail: string): Promise<{
+        token: string;
+        account: AuthAccount;
+        newEmail: string;
+    } | null>;
+    /**
+     * Confirma a troca de e-mail consumindo o token (single-use). Em caso de
+     * sucesso aplica o novo e-mail, marca-o como verificado e limpa o token.
+     * Retorna `{ ok: true, account, newEmail }` ou `{ ok: false }`.
+     */
+    confirmEmailChange(token: string): Promise<{
+        ok: true;
+        account: AuthAccount;
+        newEmail: string;
+    } | {
+        ok: false;
+    }>;
+}
 /**
  * Account linking por identidade de provider (Google, GitHub, …).
  * `(provider, providerUserId)` é a chave estável vinda do provider OAuth — não
@@ -184,10 +227,12 @@ export interface WebauthnCapability {
  * presentes-mas-lançando). Use os type guards {@link supportsMfa},
  * {@link supportsPasskeys}, {@link supportsProviderIdentity} para estreitar.
  */
-export type AccountStore = CoreAccountStore & Partial<MfaCapability & WebauthnCapability & ProviderIdentityCapability>;
+export type AccountStore = CoreAccountStore & Partial<MfaCapability & WebauthnCapability & ProviderIdentityCapability & AccountSecurityCapability>;
 /** Type guard: o store implementa a capacidade de MFA / TOTP. */
 export declare function supportsMfa(store: AccountStore): store is AccountStore & MfaCapability;
 /** Type guard: o store implementa a capacidade de passkeys / WebAuthn. */
 export declare function supportsPasskeys(store: AccountStore): store is AccountStore & WebauthnCapability;
 /** Type guard: o store implementa account linking por identidade de provider. */
 export declare function supportsProviderIdentity(store: AccountStore): store is AccountStore & ProviderIdentityCapability;
+/** Type guard: o store implementa o self-service de segurança (senha/e-mail). */
+export declare function supportsAccountSecurity(store: AccountStore): store is AccountStore & AccountSecurityCapability;

package/build/src/accounts/account_store.js

@@ -10,3 +10,7 @@ export function supportsPasskeys(store) {
 export function supportsProviderIdentity(store) {
     return typeof store.findByProviderIdentity === 'function';
 }
+/** Type guard: o store implementa o self-service de segurança (senha/e-mail). */
+export function supportsAccountSecurity(store) {
+    return typeof store.changePassword === 'function';
+}

package/build/src/accounts/lucid_store/core.d.ts

@@ -1,8 +1,9 @@
-import type { CoreAccountStore } from '../account_store.js';
+import type { AccountSecurityCapability, CoreAccountStore } from '../account_store.js';
 import type { LucidStoreContext } from './shared.js';
 /**
  * Núcleo SEMPRE presente do {@link CoreAccountStore} sobre um model Lucid:
- * identidade, cadastro, reset de senha, verificação de e-mail e administração
- * (listagem paginada + roles globais).
+ * identidade, cadastro, reset de senha, verificação de e-mail, administração
+ * (listagem paginada + roles globais) e o self-service de segurança
+ * ({@link AccountSecurityCapability}: trocar senha/e-mail).
  */
-export declare function buildCore(ctx: LucidStoreContext): CoreAccountStore;
+export declare function buildCore(ctx: LucidStoreContext): CoreAccountStore & AccountSecurityCapability;

package/build/src/accounts/lucid_store/core.js

@@ -1,9 +1,12 @@
 import { randomBytes } from 'node:crypto';
 import { DateTime } from 'luxon';
+/** Prefixo do token de troca de e-mail (reaproveita a coluna emailVerificationToken). */
+const EMAIL_CHANGE_PREFIX = 'ec:';
 /**
  * Núcleo SEMPRE presente do {@link CoreAccountStore} sobre um model Lucid:
- * identidade, cadastro, reset de senha, verificação de e-mail e administração
- * (listagem paginada + roles globais).
+ * identidade, cadastro, reset de senha, verificação de e-mail, administração
+ * (listagem paginada + roles globais) e o self-service de segurança
+ * ({@link AccountSecurityCapability}: trocar senha/e-mail).
  */
 export function buildCore(ctx) {
     const { Model, toAccount } = ctx;
@@ -66,6 +69,10 @@ export function buildCore(ctx) {
         async consumeEmailVerificationToken(token) {
             if (!token)
                 return false;
+            // Tokens de troca de e-mail (`ec:`) NÃO são verificações de cadastro — só o
+            // fluxo de confirmEmailChange pode consumi-los.
+            if (token.startsWith(EMAIL_CHANGE_PREFIX))
+                return false;
             const row = await Model.query().where('emailVerificationToken', token).first();
             if (!row)
                 return false;
@@ -104,5 +111,63 @@ export function buildCore(ctx) {
             row.globalRoles = roles;
             await row.save();
         },
+        // ----- Self-service de segurança (console de conta) -----
+        async changePassword(accountId, newPassword) {
+            const row = await Model.find(accountId);
+            if (!row)
+                return false;
+            // O hash acontece no @beforeSave do mixin withAuthUser ao detectar $dirty.password.
+            row.password = newPassword;
+            await row.save();
+            return true;
+        },
+        async requestEmailChange(accountId, newEmail) {
+            const row = await Model.find(accountId);
+            if (!row)
+                return null;
+            // Não permite tomar um e-mail já usado por OUTRA conta.
+            const taken = await Model.query().where('email', newEmail).first();
+            if (taken && taken.id !== row.id)
+                return null;
+            // Token = `ec:<base64url(newEmail)>:<random>`. Reaproveita a coluna
+            // emailVerificationToken (sem migração nova); o prefixo `ec:` distingue do
+            // token de verificação de cadastro. O e-mail viaja codificado no próprio
+            // token, então não precisamos de coluna extra para o "pending email".
+            const encodedEmail = Buffer.from(newEmail, 'utf8').toString('base64url');
+            const token = `${EMAIL_CHANGE_PREFIX}${encodedEmail}:${randomBytes(24).toString('hex')}`;
+            row.emailVerificationToken = token;
+            await row.save();
+            return { token, account: toAccount(row), newEmail };
+        },
+        async confirmEmailChange(token) {
+            if (!token || !token.startsWith(EMAIL_CHANGE_PREFIX))
+                return { ok: false };
+            const parts = token.split(':');
+            // Forma esperada: ['ec', '<b64email>', '<random>']
+            if (parts.length !== 3)
+                return { ok: false };
+            let newEmail;
+            try {
+                newEmail = Buffer.from(parts[1], 'base64url').toString('utf8');
+            }
+            catch {
+                return { ok: false };
+            }
+            if (!newEmail)
+                return { ok: false };
+            const row = await Model.query().where('emailVerificationToken', token).first();
+            if (!row)
+                return { ok: false };
+            // Defesa contra corrida: o e-mail pode ter sido tomado entre o pedido e a
+            // confirmação por outra conta.
+            const taken = await Model.query().where('email', newEmail).first();
+            if (taken && taken.id !== row.id)
+                return { ok: false };
+            row.email = newEmail;
+            row.emailVerifiedAt = DateTime.now();
+            row.emailVerificationToken = null;
+            await row.save();
+            return { ok: true, account: toAccount(row), newEmail };
+        },
     };
 }

package/build/src/adapters/adapter_contract.d.ts

@@ -6,6 +6,16 @@ export interface OidcPayload {
     uid?: string;
     consumed?: unknown;
 }
+/** Um client OIDC enumerado do adapter (id + payload de metadata persistido). */
+export interface EnumeratedClient {
+    clientId: string;
+    payload: Record<string, unknown>;
+}
+/** Um artefato OIDC enumerado de um model qualquer (id + payload persistido). */
+export interface EnumeratedArtifact {
+    id: string;
+    payload: Record<string, unknown>;
+}
 /** Contrato que o oidc-provider espera de um adapter (um por model). */
 export interface OidcAdapter {
     upsert(id: string, payload: OidcPayload, expiresIn: number): Promise<void>;
@@ -15,4 +25,23 @@ export interface OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumera os artefatos do model deste adapter — usado SÓ para o model `Client`
+     * pelo console admin, para listar clients persistidos (registro dinâmico/CRUD).
+     * Capacidade OPCIONAL (estilo `AuditSink.list`): adapters que não conseguem
+     * enumerar de forma barata omitem o método e a UI degrada graciosamente.
+     *
+     * @deprecated Use {@link list} (genérico). Mantido por compat: quando presente,
+     * delega para `list()` (o adapter é sempre instanciado com `model = 'Client'`).
+     */
+    listClients?(): Promise<EnumeratedClient[]>;
+    /**
+     * Enumeração GENÉRICA dos artefatos do model deste adapter (id + payload). Usada
+     * pelo console admin para listar `Client` (CRUD) e `Session`/`Grant`/tokens
+     * (sessões ativas + revogação). Capacidade OPCIONAL (estilo `AuditSink.list`):
+     * adapters que não conseguem enumerar de forma barata omitem o método e a UI
+     * degrada graciosamente. O adapter já é escopado a UM model na construção
+     * (`new AdapterClass(model)`), então não recebe parâmetro.
+     */
+    list?(): Promise<EnumeratedArtifact[]>;
 }

package/build/src/adapters/database_adapter.d.ts

@@ -1,5 +1,5 @@
 import type { Database } from '@adonisjs/lucid/database';
-import type { OidcAdapter, OidcPayload } from './adapter_contract.js';
+import type { EnumeratedArtifact, EnumeratedClient, OidcAdapter, OidcPayload } from './adapter_contract.js';
 export declare class DatabaseAdapter implements OidcAdapter {
     #private;
     private name;
@@ -12,4 +12,15 @@ export declare class DatabaseAdapter implements OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumeração genérica dos artefatos do model deste adapter (id + payload).
+     * Filtra por `model_name = this.name` e descarta linhas expiradas. Usada pelo
+     * console admin para listar `Client` (CRUD) e `Session`/`Grant`/tokens.
+     */
+    list(): Promise<EnumeratedArtifact[]>;
+    /**
+     * Compat: enumera os clients persistidos. Delega para {@link list} (o adapter é
+     * instanciado com `model_name = 'Client'`), reprojetando `id` → `clientId`.
+     */
+    listClients(): Promise<EnumeratedClient[]>;
 }

package/build/src/adapters/database_adapter.js

@@ -60,4 +60,28 @@ export class DatabaseAdapter {
     async revokeByGrantId(grantId) {
         await this.db.query().from(TABLE).where('grant_id', grantId).delete();
     }
+    /**
+     * Enumeração genérica dos artefatos do model deste adapter (id + payload).
+     * Filtra por `model_name = this.name` e descarta linhas expiradas. Usada pelo
+     * console admin para listar `Client` (CRUD) e `Session`/`Grant`/tokens.
+     */
+    async list() {
+        const rows = await this.#query().orderBy('id', 'asc');
+        const now = Date.now();
+        const result = [];
+        for (const row of rows) {
+            if (row.expires_at && new Date(row.expires_at).getTime() <= now)
+                continue;
+            result.push({ id: row.id, payload: JSON.parse(row.payload) });
+        }
+        return result;
+    }
+    /**
+     * Compat: enumera os clients persistidos. Delega para {@link list} (o adapter é
+     * instanciado com `model_name = 'Client'`), reprojetando `id` → `clientId`.
+     */
+    async listClients() {
+        const rows = await this.list();
+        return rows.map((r) => ({ clientId: r.id, payload: r.payload }));
+    }
 }

package/build/src/adapters/redis_adapter.d.ts

@@ -1,5 +1,5 @@
 import type { Redis } from 'ioredis';
-import type { OidcAdapter, OidcPayload } from './adapter_contract.js';
+import type { EnumeratedArtifact, EnumeratedClient, OidcAdapter, OidcPayload } from './adapter_contract.js';
 export declare class RedisAdapter implements OidcAdapter {
     #private;
     private name;
@@ -13,4 +13,17 @@ export declare class RedisAdapter implements OidcAdapter {
     consume(id: string): Promise<void>;
     destroy(id: string): Promise<void>;
     revokeByGrantId(grantId: string): Promise<void>;
+    /**
+     * Enumeração genérica dos artefatos do model deste adapter via SCAN sobre o
+     * prefixo de chave do model (`<prefix>:<name>:*`). É limpo porque cada artefato
+     * é uma chave única já namespaceada por `prefix` + `name`; SCAN é não-bloqueante
+     * (cursor) ao contrário de KEYS. Usado pelo console admin (`Client`, `Session`,
+     * `Grant`, tokens).
+     */
+    list(): Promise<EnumeratedArtifact[]>;
+    /**
+     * Compat: enumera os clients persistidos. Delega para {@link list} (o adapter é
+     * instanciado com `name = 'Client'`), reprojetando `id` → `clientId`.
+     */
+    listClients(): Promise<EnumeratedClient[]>;
 }

package/build/src/adapters/redis_adapter.js

@@ -92,4 +92,39 @@ export class RedisAdapter {
         multi.del(gk);
         await multi.exec();
     }
+    /**
+     * Enumeração genérica dos artefatos do model deste adapter via SCAN sobre o
+     * prefixo de chave do model (`<prefix>:<name>:*`). É limpo porque cada artefato
+     * é uma chave única já namespaceada por `prefix` + `name`; SCAN é não-bloqueante
+     * (cursor) ao contrário de KEYS. Usado pelo console admin (`Client`, `Session`,
+     * `Grant`, tokens).
+     */
+    async list() {
+        const prefix = `${this.prefix}:${this.name}:`;
+        const result = [];
+        let cursor = '0';
+        do {
+            const [next, keys] = await this.redis.scan(cursor, 'MATCH', `${prefix}*`, 'COUNT', 100);
+            cursor = next;
+            for (const key of keys) {
+                const data = await this.redis.get(key);
+                if (!data)
+                    continue;
+                result.push({
+                    id: key.slice(prefix.length),
+                    payload: JSON.parse(data),
+                });
+            }
+        } while (cursor !== '0');
+        result.sort((a, b) => a.id.localeCompare(b.id));
+        return result;
+    }
+    /**
+     * Compat: enumera os clients persistidos. Delega para {@link list} (o adapter é
+     * instanciado com `name = 'Client'`), reprojetando `id` → `clientId`.
+     */
+    async listClients() {
+        const rows = await this.list();
+        return rows.map((r) => ({ clientId: r.id, payload: r.payload }));
+    }
 }

package/build/src/audit/audit_sink.d.ts

@@ -1,7 +1,7 @@
 /**
  * Tipos de eventos de auditoria relevantes para segurança emitidos pelo IdP.
  */
-export type AuditEventType = 'login.success' | 'login.failure' | 'signup' | 'password_reset.issued' | 'password_reset.consumed' | 'pat.issued' | 'pat.revoked' | 'pat.used' | 'impersonation' | 'mfa.enabled' | 'mfa.disabled' | 'account.locked' | 'passkey.registered' | 'passkey.removed' | 'email_verification.issued' | 'email_verification.consumed';
+export type AuditEventType = 'login.success' | 'login.failure' | 'signup' | 'password_reset.issued' | 'password_reset.consumed' | 'pat.issued' | 'pat.revoked' | 'pat.used' | 'impersonation' | 'mfa.enabled' | 'mfa.disabled' | 'account.locked' | 'passkey.registered' | 'passkey.removed' | 'email_verification.issued' | 'email_verification.consumed' | 'client.created' | 'client.updated' | 'client.deleted' | 'session.revoked_all' | 'password.changed' | 'email.change_requested' | 'email.changed' | 'login.new_ip_notified';
 /**
  * Evento de auditoria a registrar. O timestamp é definido pelo sink (não aqui).
  */

package/build/src/define_config.d.ts

@@ -89,6 +89,22 @@ export interface ResolvedLockoutConfig {
     store?: string;
 }
 export declare function resolveLockout(input?: LockoutConfigInput): ResolvedLockoutConfig;
+/**
+ * Notificações de segurança por e-mail (best-effort, fire-and-forget). Hoje cobre
+ * o alerta de NOVO acesso (login de um IP nunca visto antes para a conta).
+ */
+export interface NotificationsConfigInput {
+    /**
+     * Envia um e-mail "novo acesso à sua conta" quando um login bem-sucedido vem de
+     * um IP sem `login.success` anterior para a conta. Default: true. A checagem do
+     * histórico usa o `audit.list` (degrada para no-op se o sink não consulta).
+     */
+    newLoginEmail?: boolean;
+}
+export interface ResolvedNotificationsConfig {
+    newLoginEmail: boolean;
+}
+export declare function resolveNotifications(input?: NotificationsConfigInput): ResolvedNotificationsConfig;
 /**
  * Registro dinâmico de clients (OIDC Dynamic Client Registration — RFC 7591).
  *
@@ -123,6 +139,72 @@ export interface ResolvedDynamicRegistrationConfig {
  * (RFC 7591) — `management: true` com `enabled: false` é um erro de configuração.
  */
 export declare function resolveDynamicRegistration(input?: DynamicRegistrationConfigInput): ResolvedDynamicRegistrationConfig;
+/**
+ * Device Authorization Grant (RFC 8628). Quando habilitado, o oidc-provider expõe
+ * o `device_authorization_endpoint` (`/device/auth`) e a tela de verificação de
+ * user-code (`/device`). O grant `urn:ietf:params:oauth:grant-type:device_code`
+ * deve ser concedido ao client (lista `grants`) para o fluxo funcionar.
+ */
+export interface DeviceFlowConfigInput {
+    /** Liga o Device Authorization Grant. Default: false. */
+    enabled: boolean;
+}
+export interface ResolvedDeviceFlowConfig {
+    enabled: boolean;
+}
+export declare function resolveDeviceFlow(input?: DeviceFlowConfigInput): ResolvedDeviceFlowConfig;
+/**
+ * DPoP — Demonstrating Proof of Possession (RFC 9449). Quando habilitado, o
+ * oidc-provider aceita DPoP proofs e emite tokens sender-constrained
+ * (`token_type: DPoP`, com `cnf.jkt`). A discovery passa a anunciar
+ * `dpop_signing_alg_values_supported`. Os resolvers do authkit-client aceitam o
+ * token via introspecção (a cnf viaja no resultado) — a geração de provas DPoP no
+ * client está fora de escopo (documentado como trabalho futuro).
+ */
+export interface DpopConfigInput {
+    /** Liga o DPoP. Default: false. */
+    enabled: boolean;
+}
+export interface ResolvedDpopConfig {
+    enabled: boolean;
+}
+export declare function resolveDpop(input?: DpopConfigInput): ResolvedDpopConfig;
+/**
+ * PAR — Pushed Authorization Requests (RFC 9126). Quando habilitado, o
+ * oidc-provider expõe o `pushed_authorization_request_endpoint` (`/request`): o
+ * client POSTa os parâmetros de authorize e recebe um `request_uri` opaco para
+ * usar no `/auth`. Com `requirePushedAuthorizationRequests`, o `/auth` SÓ aceita
+ * requests via `request_uri` (parâmetros inline são rejeitados).
+ */
+export interface ParConfigInput {
+    /** Liga o PAR. Default: false. */
+    enabled: boolean;
+    /** Exige que TODO authorize venha via request_uri do PAR. Default: false. */
+    requirePushedAuthorizationRequests?: boolean;
+}
+export interface ResolvedParConfig {
+    enabled: boolean;
+    requirePushedAuthorizationRequests: boolean;
+}
+export declare function resolvePar(input?: ParConfigInput): ResolvedParConfig;
+/**
+ * Step-up authentication via `acr_values` (MVP pragmático de MFA por requisição).
+ * Quando o client solicita `acr_values` contendo `mfaAcr`, o login EXIGE o 2º
+ * fator: contas com MFA enrolado passam pelo desafio (o `acr` do id_token vira
+ * `mfaAcr` e `amr` recebe `['mfa', método]`); contas SEM MFA enrolado têm o login
+ * bloqueado naquela requisição com a instrução de configurar MFA no console.
+ */
+export interface StepUpConfigInput {
+    /** Lista de acr_values anunciados como suportados (discovery). */
+    acrValues?: string[];
+    /** O acr que dispara a exigência de MFA. Default: 'urn:authkit:mfa'. */
+    mfaAcr?: string;
+}
+export interface ResolvedStepUpConfig {
+    acrValues: string[];
+    mfaAcr: string;
+}
+export declare function resolveStepUp(input?: StepUpConfigInput): ResolvedStepUpConfig;
 /**
  * Console admin opt-in do IdP (B6). Quando habilitado, monta o grupo `/admin/*`
  * (dashboard, usuários/papéis, clients, audit) atrás de um guard que exige sessão
@@ -193,6 +275,8 @@ export interface AuthServerConfigInput {
     rateLimit?: RateLimitConfigInput;
     /** Bloqueio progressivo de conta por email em falhas repetidas. Default: ligado (no-op sem limiter). */
     lockout?: LockoutConfigInput;
+    /** Notificações de segurança por e-mail (alerta de novo acesso). Default: ligado. */
+    notifications?: NotificationsConfigInput;
     /** Hooks de e-mail (reset de senha / verificação). Opcional — fallback de log em dev. */
     mail?: MailHooks;
     /** Sink de auditoria (best-effort). Opcional — quando ausente, auditoria é no-op. */
@@ -213,6 +297,14 @@ export interface AuthServerConfigInput {
      * os clients registrados são persistidos pelo mesmo adapter OIDC.
      */
     dynamicRegistration?: DynamicRegistrationConfigInput;
+    /** Device Authorization Grant (RFC 8628). Default: desligado. */
+    deviceFlow?: DeviceFlowConfigInput;
+    /** DPoP — sender-constrained tokens (RFC 9449). Default: desligado. */
+    dpop?: DpopConfigInput;
+    /** Pushed Authorization Requests (RFC 9126). Default: desligado. */
+    par?: ParConfigInput;
+    /** Step-up auth via acr_values (MFA por requisição). Default: vazio (só o mfaAcr derivado). */
+    stepUp?: StepUpConfigInput;
     /**
      * Console admin do IdP (B6). Default: desligado. Quando ligado, o host também
      * deve passar `admin: true` em {@link AuthHostOptions} no registro de rotas
@@ -250,12 +342,22 @@ export interface ResolvedServerConfig {
     rateLimit: ResolvedRateLimitConfig;
     /** Bloqueio progressivo de conta resolvido (sempre presente; default ligado). */
     lockout: ResolvedLockoutConfig;
+    /** Notificações de segurança resolvidas (sempre presente; default ligado). */
+    notifications: ResolvedNotificationsConfig;
     mail?: MailHooks;
     audit?: AuditSink;
     mfaIssuer: string;
     /** RP de WebAuthn resolvido (sempre presente; derivado do issuer por default). */
     webauthn: ResolvedWebauthnConfig;
     dynamicRegistration: ResolvedDynamicRegistrationConfig;
+    /** Device Authorization Grant resolvido (default desligado). */
+    deviceFlow: ResolvedDeviceFlowConfig;
+    /** DPoP resolvido (default desligado). */
+    dpop: ResolvedDpopConfig;
+    /** PAR resolvido (default desligado). */
+    par: ResolvedParConfig;
+    /** Step-up auth resolvido (mfaAcr sempre presente). */
+    stepUp: ResolvedStepUpConfig;
     /** Console admin resolvido (sempre presente; default desligado). */
     admin: ResolvedAdminConfig;
     /** Catálogo de mensagens ativo (locale resolvido), pronto para os renderers. */