@dudousxd/adonis-authkit-server 0.4.0 → 0.6.0

package/build/src/host/i18n.js

@@ -3,17 +3,348 @@
  *
  * Todas as strings visíveis ao usuário das views Edge (e as mensagens de
  * flash/erro produzidas pelos controllers) vivem num catálogo achatado de
- * chaves pontilhadas. O default embutido é pt-BR — os apps continuam
- * funcionando SEM nenhuma configuração. O host pode sobrescrever chaves
- * pontuais ou fornecer locales inteiros (ex.: `en`) via `I18nConfig`.
+ * chaves pontilhadas. O default embutido é inglês (`en`) — os apps continuam
+ * funcionando SEM nenhuma configuração. O pt-BR é um locale embutido: basta
+ * `i18n: { locale: 'pt-BR' }`. O host também pode sobrescrever chaves pontuais
+ * ou fornecer locales inteiros (ex.: `fr`) via `I18nConfig`.
  */
 /** Locale default do host-kit. */
-export const DEFAULT_LOCALE = 'pt-BR';
+export const DEFAULT_LOCALE = 'en';
 /**
- * Catálogo default (pt-BR) — cobre TODAS as strings visíveis ao usuário das
+ * Catálogo default (inglês) — cobre TODAS as strings visíveis ao usuário das
  * views e as mensagens de flash/erro dos controllers. Chaves agrupadas por tela.
  */
 export const DEFAULT_MESSAGES = {
+    // Comum / fallback de marca.
+    'common.app_fallback': 'Auth',
+    'common.brand_eyebrow': 'Auth',
+    // Tela de login (interaction OIDC: identifier + password).
+    'login.page_title': 'Login',
+    'login.title': 'Login',
+    'login.identifier_intro': 'Enter your email to continue.',
+    'login.email_label': 'Email',
+    'login.identifier_submit': 'Continue',
+    'login.create_account': 'Create account',
+    'login.forgot_password': 'Forgot password',
+    'login.divider_or': 'or',
+    'login.google': 'Sign in with Google',
+    'login.greeting': 'Hi, {name}',
+    'login.switch_account': 'Switch account',
+    'login.password_label': 'Password',
+    'login.submit': 'Log in',
+    // Passwordless (login).
+    'login.magic_link_button': 'Email me a login link',
+    'login.magic_link_sent': 'If the account exists, we sent you a login link.',
+    'login.passkey_button': 'Sign in with a passkey',
+    // Tela de cadastro (signup).
+    'signup.page_title': 'Create account',
+    'signup.title': 'Create account',
+    'signup.intro': 'Fill in your details to get started.',
+    'signup.name_label': 'Name',
+    'signup.email_label': 'Email',
+    'signup.password_label': 'Password',
+    'signup.submit': 'Create account',
+    'signup.have_account': 'I already have an account',
+    // Recuperação de senha (forgot).
+    'forgot.page_title': 'Reset password',
+    'forgot.sent_title': 'Email sent',
+    'forgot.sent_body': 'If the email exists, we will send reset instructions.',
+    'forgot.title': 'Reset password',
+    'forgot.intro': 'We will send you a link to reset your password.',
+    'forgot.email_label': 'Email',
+    'forgot.submit': 'Send link',
+    // Redefinição de senha (reset).
+    'reset.page_title': 'Reset password',
+    'reset.done_title': 'Password reset',
+    'reset.done_body': 'You can now log in with your new password.',
+    'reset.title': 'New password',
+    'reset.intro': 'Choose a new password for your account.',
+    'reset.password_label': 'Password',
+    'reset.submit': 'Reset',
+    // Verificação de e-mail (verify-email).
+    'verify_email.page_title': 'Verify email',
+    'verify_email.verified_title': 'Email verified',
+    'verify_email.verified_body': 'Your email was confirmed successfully.',
+    'verify_email.invalid_title': 'Invalid link',
+    'verify_email.invalid_body': 'The verification link is invalid or has already been used.',
+    // Desafio de MFA no fluxo de login (mfa-challenge).
+    'mfa_challenge.page_title': 'Two-factor verification',
+    'mfa_challenge.title': 'Two-factor verification',
+    'mfa_challenge.intro': 'Open your authenticator app and enter the 6-digit code.',
+    'mfa_challenge.code_label': 'Code',
+    'mfa_challenge.submit': 'Verify',
+    'mfa_challenge.recovery_summary': 'Use a recovery code',
+    'mfa_challenge.recovery_submit': 'Log in with a recovery code',
+    'mfa_challenge.passkey_button': 'Use passkey',
+    'mfa_challenge.passkey_error': 'Could not authenticate with the passkey. Please try again.',
+    'mfa_challenge.trust_device': 'Trust this device for {days} days',
+    // Consent (autorização de cliente OIDC).
+    'consent.page_title': 'Authorize',
+    'consent.title': 'Authorize access',
+    // `{app}` é interpolado com o nome do app já envolto em <strong> (renderizado
+    // raw na view). O nome vem do branding (config-trusted).
+    'consent.body': 'The app <strong>{app}</strong> wants to access your account.',
+    'consent.submit': 'Authorize',
+    // Console de conta — login (account/login).
+    'account.login.page_title': 'My account',
+    'account.login.title': 'My account',
+    'account.login.intro': 'Manage your access tokens.',
+    'account.login.email_label': 'Email',
+    'account.login.password_label': 'Password',
+    'account.login.submit': 'Log in',
+    // Console de conta — tokens (account/tokens).
+    'account.tokens.page_title': 'Access tokens',
+    'account.tokens.title': 'Access tokens',
+    'account.tokens.logout': 'Log out',
+    'account.tokens.security': 'Security',
+    'account.tokens.created_notice': 'Token created — copy it now, it will not be shown again:',
+    'account.tokens.name_placeholder': 'Token name (e.g. CI deploy)',
+    'account.tokens.create': 'Create',
+    'account.tokens.empty': 'No tokens yet.',
+    'account.tokens.created_at': 'Created on {date}',
+    'account.tokens.last_used': '· last used {date}',
+    'account.tokens.never_used': '· never used',
+    'account.tokens.scopes': 'Scopes: {scopes}',
+    'account.tokens.audience': 'Audience: {audience}',
+    'account.tokens.revoke': 'Revoke',
+    // Console de conta — segurança (account/security): senha + e-mail.
+    'account.security.page_title': 'Account security',
+    'account.security.title': 'Account security',
+    'account.security.logout': 'Log out',
+    'account.security.current_email': 'Current email: {email}',
+    'account.security.not_supported': 'Changing password and email is not available in this installation.',
+    'account.security.password_section': 'Change password',
+    'account.security.current_password_label': 'Current password',
+    'account.security.new_password_label': 'New password',
+    'account.security.change_password_submit': 'Change password',
+    'account.security.password_changed': 'Password changed successfully.',
+    'account.security.email_section': 'Change email',
+    'account.security.email_intro': 'We will send a confirmation link to the new address. The change only takes effect after confirmation.',
+    'account.security.new_email_label': 'New email',
+    'account.security.email_password_label': 'Current password',
+    'account.security.change_email_submit': 'Request email change',
+    'account.security.email_change_requested': 'We sent a confirmation link to {email}. Click it to complete the change.',
+    'account.security.email_changed': 'Email changed successfully.',
+    // Trusted devices (account/security).
+    'account.security.trusted_devices_section': 'Trusted devices',
+    'account.security.trusted_devices_intro': 'You can stop trusting this browser so two-factor is required here again. To revoke trust on all devices, re-enroll your authenticator.',
+    'account.security.trusted_devices_revoke': 'Stop trusting this device',
+    'account.security.trusted_devices_revoked': 'This device is no longer trusted. Two-factor will be required here again.',
+    // Console de conta — perfil (seção em account/security).
+    'account.profile.section': 'Profile',
+    'account.profile.intro': 'Update your display name and avatar.',
+    'account.profile.name_label': 'Name',
+    'account.profile.avatar_label': 'Avatar URL',
+    'account.profile.submit': 'Save profile',
+    'account.profile.updated': 'Profile updated successfully.',
+    'account.profile.not_supported': 'Profile editing is not available in this installation.',
+    // Console de conta — apps com acesso (account/apps).
+    'account.apps.page_title': 'Apps with access',
+    'account.apps.title': 'Apps with access',
+    'account.apps.intro': 'Apps you have authorized to access your account.',
+    'account.apps.logout': 'Log out',
+    'account.apps.empty': 'No apps have access to your account.',
+    'account.apps.tokens': '{accessTokens} access · {refreshTokens} refresh',
+    'account.apps.revoke': 'Revoke access',
+    'account.apps.revoke_confirm': 'Revoke this app’s access? It will need to be authorized again and its tokens will stop working.',
+    'account.apps.revoked': 'Access revoked.',
+    'account.apps.not_supported': 'The configured OIDC adapter does not support enumeration — listing apps is unavailable.',
+    // Confirmação de troca de e-mail (account/email-confirmed).
+    'account.email_confirmed.page_title': 'Email confirmation',
+    'account.email_confirmed.ok_title': 'Email changed',
+    'account.email_confirmed.ok_body': 'Your new email has been confirmed and is now active.',
+    'account.email_confirmed.invalid_title': 'Invalid link',
+    'account.email_confirmed.invalid_body': 'The confirmation link is invalid or has already been used.',
+    // Console de conta — MFA (account/mfa).
+    'account.mfa.page_title': 'Two-factor verification',
+    'account.mfa.title': 'Two-factor verification',
+    'account.mfa.logout': 'Log out',
+    'account.mfa.recovery_codes_notice': 'Save your recovery codes — they will not be shown again:',
+    'account.mfa.enroll_intro': 'Scan the QR code with your authenticator app (Google Authenticator, 1Password, etc.).',
+    'account.mfa.qr_alt': 'TOTP QR code',
+    'account.mfa.manual_intro': 'Or enter it manually:',
+    'account.mfa.confirm_code_label': 'Confirmation code',
+    'account.mfa.activate': 'Enable two-factor verification',
+    'account.mfa.enabled_html': 'Two-factor verification is <span class="font-semibold text-emerald-700">enabled</span> on this account.',
+    'account.mfa.disable': 'Disable',
+    'account.mfa.disabled_intro': 'Two-factor verification is disabled. Enable it to protect your account with an authenticator app.',
+    'account.mfa.enable': 'Enable two-factor verification',
+    // Console de conta — passkeys (WebAuthn) na tela de MFA.
+    'mfa.passkey.section_title': 'Passkeys',
+    'mfa.passkey.section_intro': 'Use a passkey (biometrics, device PIN, or security key) as a second factor, without typing codes.',
+    'mfa.passkey.add': 'Add passkey',
+    'mfa.passkey.remove': 'Remove',
+    'mfa.passkey.empty': 'No passkeys registered.',
+    'mfa.passkey.unnamed': 'Passkey',
+    'mfa.passkey.created_at': 'Created on {date}',
+    'mfa.passkey.register_error': 'Could not register the passkey. Please try again.',
+    'mfa.passkey.unsupported': 'Your browser does not support passkeys.',
+    // Console admin (B6) — navegação compartilhada.
+    'admin.nav.dashboard': 'Dashboard',
+    'admin.nav.users': 'Users',
+    'admin.nav.clients': 'Clients',
+    'admin.nav.audit': 'Audit',
+    'admin.nav.logout': 'Log out',
+    // Console admin — dashboard.
+    'admin.dashboard.page_title': 'Admin dashboard',
+    'admin.dashboard.title': 'Admin dashboard',
+    'admin.dashboard.users_count': 'Users',
+    'admin.dashboard.clients_count': 'Clients',
+    'admin.dashboard.audit_count': 'Audit events',
+    'admin.dashboard.recent_title': 'Recent events',
+    // Console admin — usuários.
+    'admin.users.page_title': 'Users',
+    'admin.users.title': 'Users',
+    'admin.users.search_placeholder': 'Search by email',
+    'admin.users.search': 'Search',
+    'admin.users.empty': 'No users found.',
+    'admin.users.roles_placeholder': 'Roles (comma-separated)',
+    'admin.users.save_roles': 'Save roles',
+    'admin.users.sessions': 'Sessions',
+    'admin.users.create_section': 'Create user',
+    'admin.users.create_name_placeholder': 'Name (optional)',
+    'admin.users.create_email_placeholder': 'Email',
+    'admin.users.create_password_placeholder': 'Password (leave blank to send invite)',
+    'admin.users.create_submit': 'Create user',
+    'admin.users.created': 'User created.',
+    'admin.users.reset_password': 'Send password reset',
+    'admin.users.reset_sent': 'Password reset email sent.',
+    'admin.users.disable': 'Disable',
+    'admin.users.enable': 'Enable',
+    'admin.users.disabled': 'Account disabled.',
+    'admin.users.enabled': 'Account enabled.',
+    'admin.users.disabled_badge': 'Disabled',
+    'admin.users.disable_confirm': 'Disable this account? The user will not be able to log in.',
+    // Console admin — sessões/grants ativos de uma conta.
+    'admin.sessions.page_title': 'Active sessions',
+    'admin.sessions.title': 'Active sessions',
+    'admin.sessions.account': 'Account: {email}',
+    'admin.sessions.back': 'Back to users',
+    'admin.sessions.not_supported': 'The configured OIDC adapter does not support enumeration — session inspection is unavailable.',
+    'admin.sessions.revoked_notice': 'Revoked: {sessions} session(s), {grants} grant(s), {accessTokens} access token(s), {refreshTokens} refresh token(s).',
+    'admin.sessions.sessions_section': 'Sessions (IdP login)',
+    'admin.sessions.sessions_empty': 'No active sessions.',
+    'admin.sessions.session_login_ts': 'Login: {date}',
+    'admin.sessions.session_amr': 'Methods: {amr}',
+    'admin.sessions.grants_section': 'Grants (per-client authorizations)',
+    'admin.sessions.grants_empty': 'No active grants.',
+    'admin.sessions.grant_client': 'Client: {clientId}',
+    'admin.sessions.grant_tokens': '{accessTokens} access · {refreshTokens} refresh',
+    'admin.sessions.revoke_all': 'Revoke all sessions and grants',
+    'admin.sessions.revoke_confirm': 'Revoke all sessions and grants for this account? The user will need to log in again and issued tokens will stop working.',
+    // Console admin — clients.
+    'admin.clients.page_title': 'OAuth clients',
+    'admin.clients.title': 'OAuth clients',
+    'admin.clients.empty': 'No clients configured.',
+    'admin.clients.confidential': 'Confidential',
+    'admin.clients.public': 'Public',
+    'admin.clients.grants': 'Grants: {grants}',
+    'admin.clients.redirect_uris': 'Redirects: {uris}',
+    'admin.clients.dynamic_notice': 'Dynamic client registration (RFC 7591) is on — clients registered via /reg are persisted in the adapter and appear in the dynamic section below.',
+    'admin.clients.static_section': 'Static clients (config)',
+    'admin.clients.dynamic_section': 'Dynamic clients (adapter)',
+    'admin.clients.dynamic_empty': 'No dynamic clients persisted.',
+    'admin.clients.dynamic_not_supported': 'The configured OIDC adapter does not support client enumeration — dynamic management is unavailable.',
+    'admin.clients.new': 'New client',
+    'admin.clients.new_title': 'New OIDC client',
+    'admin.clients.edit_title': 'Edit OIDC client',
+    'admin.clients.edit': 'Edit',
+    'admin.clients.delete': 'Delete',
+    'admin.clients.delete_confirm': 'Delete this client? This action cannot be undone.',
+    'admin.clients.regenerate_secret': 'Regenerate secret',
+    'admin.clients.regenerate_confirm': 'Regenerate the secret? The current secret will stop working immediately.',
+    'admin.clients.back': 'Back',
+    'admin.clients.cancel': 'Cancel',
+    'admin.clients.save': 'Save',
+    'admin.clients.create': 'Create client',
+    'admin.clients.secret_once_title': 'Save the client_secret now',
+    'admin.clients.secret_once_notice': 'This is the only time the secret is shown. Copy it now — it cannot be retrieved later.',
+    'admin.clients.field_client_id': 'Client ID',
+    'admin.clients.field_client_id_placeholder': 'leave blank to generate automatically',
+    'admin.clients.field_client_id_help': 'Optional. If empty, a random identifier will be generated.',
+    'admin.clients.field_redirect_uris': 'Redirect URIs',
+    'admin.clients.field_redirect_uris_help': 'One URI per line.',
+    'admin.clients.field_post_logout_uris': 'Post-logout redirect URIs',
+    'admin.clients.field_post_logout_uris_help': 'One URI per line (optional).',
+    'admin.clients.field_grant_types': 'Grant types',
+    'admin.clients.field_auth_method': 'Token endpoint auth method',
+    // Console admin — auditoria.
+    'admin.audit.page_title': 'Audit',
+    'admin.audit.title': 'Audit log',
+    'admin.audit.type_placeholder': 'Filter by type',
+    'admin.audit.subject_placeholder': 'Filter by subject (accountId)',
+    'admin.audit.filter': 'Filter',
+    'admin.audit.empty': 'No events found.',
+    'admin.audit.not_supported': 'The configured audit sink does not support querying.',
+    // Console admin — paginação compartilhada.
+    'admin.pagination.page': 'Page {page} of {total}',
+    'admin.pagination.prev': 'Previous',
+    'admin.pagination.next': 'Next',
+    // Device Authorization Grant (RFC 8628) — telas servidas pelo oidc-provider.
+    'device.input.title': 'Sign in to the device',
+    'device.input.intro': 'Enter the code shown on your device.',
+    'device.input.submit': 'Continue',
+    'device.input.error_invalid': 'The code you entered is incorrect. Please try again.',
+    'device.input.error_aborted': 'The login request was aborted.',
+    'device.input.error_generic': 'An error occurred while processing your request.',
+    'device.confirm.title': 'Confirm device',
+    'device.confirm.body': 'The code below should be displayed on your device. Confirm only if you recognize it.',
+    'device.confirm.submit': 'Continue',
+    'device.confirm.abort': 'Cancel',
+    'device.success.title': 'Login complete',
+    'device.success.body': 'You are signed in. You can return to your device.',
+    // Step-up auth (acr_values): cliente exige MFA mas a conta não tem MFA enrolado.
+    'mfa_challenge.required_no_enrollment': 'This client requires two-factor verification. Set up MFA in your account console to continue.',
+    // Mensagens de erro/flash produzidas pelos controllers.
+    'errors.invalid_credentials': 'Invalid credentials',
+    'errors.invalid_code': 'Invalid code',
+    'errors.account_disabled': 'This account has been disabled.',
+    'errors.email_taken': 'Email already registered',
+    'errors.signup_failed': 'Could not create the account',
+    'errors.invalid_or_expired_token': 'Invalid or expired token',
+    'errors.account_locked': 'Account temporarily locked due to too many attempts. Try again in {seconds}s.',
+    'errors.session_expired': 'Session expired',
+    'errors.challenge_expired': 'Challenge expired',
+    'errors.passkeys_unavailable': 'Passkeys unavailable',
+    'errors.no_passkey_registered': 'No passkey registered',
+    // Assuntos/corpos de e-mail transacional (default_mailer).
+    'mail.common.link_fallback': "If the button does not work, copy and paste this link into your browser:",
+    'mail.reset.subject': 'Reset your password',
+    'mail.reset.heading': 'Reset your password',
+    'mail.reset.intro': 'We received a request to reset the password for your account.',
+    'mail.reset.cta': 'Reset password',
+    'mail.reset.fallback': 'If you did not request this, you can ignore this email.',
+    'mail.reset.expires': 'This link expires in {minutes} minutes.',
+    'mail.verify.subject': 'Verify your email',
+    'mail.verify.heading': 'Verify your email',
+    'mail.verify.intro': 'Confirm your email address to finish setting up your account.',
+    'mail.verify.cta': 'Verify email',
+    'mail.verify.fallback': 'If you did not create this account, you can ignore this email.',
+    'mail.verify.expires': 'This link expires in {minutes} minutes.',
+    'mail.magic_link.subject': 'Your login link',
+    'mail.magic_link.heading': 'Sign in to your account',
+    'mail.magic_link.intro': 'Click the button below to sign in. The link expires shortly and can be used once.',
+    'mail.magic_link.cta': 'Sign in',
+    'mail.magic_link.fallback': 'If you did not request this, you can ignore this email.',
+    'mail.new_login.subject': 'New login to your account',
+    'mail.new_login.heading': 'New login detected',
+    'mail.new_login.intro': 'We detected a new login to your account.',
+    'mail.new_login.when': 'When: {date}',
+    'mail.new_login.ip': 'IP address: {ip}',
+    'mail.new_login.device': 'Device: {device}',
+    'mail.new_login.fallback': 'If this was you, no action is needed. If not, reset your password right away.',
+    'mail.email_change.subject': 'Confirm your new email',
+    'mail.email_change.heading': 'Confirm your new email',
+    'mail.email_change.intro': 'We received a request to change the email address on your account. Confirm the new address below.',
+    'mail.email_change.cta': 'Confirm new email',
+    'mail.email_change.fallback': 'If you did not request this, you can ignore this email.',
+    'mail.email_change.expires': 'This link expires in {minutes} minutes.',
+};
+/**
+ * Catálogo embutido pt-BR. Espelha TODAS as chaves do default `en`. Ativado
+ * com `i18n: { locale: 'pt-BR' }` sem nenhuma config extra de mensagens.
+ */
+export const PT_BR_MESSAGES = {
     // Comum / fallback de marca.
     'common.app_fallback': 'Auth',
     'common.brand_eyebrow': 'Auth',
@@ -31,6 +362,10 @@ export const DEFAULT_MESSAGES = {
     'login.switch_account': 'Trocar de conta',
     'login.password_label': 'Senha',
     'login.submit': 'Entrar',
+    // Passwordless (login).
+    'login.magic_link_button': 'Me envie um link de login',
+    'login.magic_link_sent': 'Se a conta existir, enviamos um link de login.',
+    'login.passkey_button': 'Entrar com passkey',
     // Tela de cadastro (signup).
     'signup.page_title': 'Criar conta',
     'signup.title': 'Criar conta',
@@ -72,11 +407,10 @@ export const DEFAULT_MESSAGES = {
     'mfa_challenge.recovery_submit': 'Entrar com código de recuperação',
     'mfa_challenge.passkey_button': 'Usar passkey',
     'mfa_challenge.passkey_error': 'Não foi possível autenticar com a passkey. Tente novamente.',
+    'mfa_challenge.trust_device': 'Confiar neste dispositivo por {days} dias',
     // Consent (autorização de cliente OIDC).
     'consent.page_title': 'Autorizar',
     'consent.title': 'Autorizar acesso',
-    // `{app}` é interpolado com o nome do app já envolto em <strong> (renderizado
-    // raw na view). O nome vem do branding (config-trusted).
     'consent.body': 'O app <strong>{app}</strong> quer acessar sua conta.',
     'consent.submit': 'Autorizar',
     // Console de conta — login (account/login).
@@ -119,6 +453,30 @@ export const DEFAULT_MESSAGES = {
     'account.security.change_email_submit': 'Solicitar troca de e-mail',
     'account.security.email_change_requested': 'Enviamos um link de confirmação para {email}. Clique nele para concluir a troca.',
     'account.security.email_changed': 'E-mail alterado com sucesso.',
+    // Trusted devices (account/security).
+    'account.security.trusted_devices_section': 'Dispositivos confiáveis',
+    'account.security.trusted_devices_intro': 'Você pode deixar de confiar neste navegador para que a verificação em duas etapas volte a ser exigida aqui. Para revogar a confiança em todos os dispositivos, refaça o cadastro do seu autenticador.',
+    'account.security.trusted_devices_revoke': 'Deixar de confiar neste dispositivo',
+    'account.security.trusted_devices_revoked': 'Este dispositivo não é mais confiável. A verificação em duas etapas voltará a ser exigida aqui.',
+    // Console de conta — perfil (seção em account/security).
+    'account.profile.section': 'Perfil',
+    'account.profile.intro': 'Atualize seu nome de exibição e avatar.',
+    'account.profile.name_label': 'Nome',
+    'account.profile.avatar_label': 'URL do avatar',
+    'account.profile.submit': 'Salvar perfil',
+    'account.profile.updated': 'Perfil atualizado com sucesso.',
+    'account.profile.not_supported': 'A edição de perfil não está disponível nesta instalação.',
+    // Console de conta — apps com acesso (account/apps).
+    'account.apps.page_title': 'Apps com acesso',
+    'account.apps.title': 'Apps com acesso',
+    'account.apps.intro': 'Apps que você autorizou a acessar sua conta.',
+    'account.apps.logout': 'Sair',
+    'account.apps.empty': 'Nenhum app tem acesso à sua conta.',
+    'account.apps.tokens': '{accessTokens} access · {refreshTokens} refresh',
+    'account.apps.revoke': 'Revogar acesso',
+    'account.apps.revoke_confirm': 'Revogar o acesso deste app? Ele precisará ser autorizado novamente e seus tokens deixarão de funcionar.',
+    'account.apps.revoked': 'Acesso revogado.',
+    'account.apps.not_supported': 'O adapter OIDC configurado não suporta enumeração — a listagem de apps fica indisponível.',
     // Confirmação de troca de e-mail (account/email-confirmed).
     'account.email_confirmed.page_title': 'Confirmação de e-mail',
     'account.email_confirmed.ok_title': 'E-mail alterado',
@@ -171,6 +529,20 @@ export const DEFAULT_MESSAGES = {
     'admin.users.roles_placeholder': 'Papéis (separados por vírgula)',
     'admin.users.save_roles': 'Salvar papéis',
     'admin.users.sessions': 'Sessões',
+    'admin.users.create_section': 'Criar usuário',
+    'admin.users.create_name_placeholder': 'Nome (opcional)',
+    'admin.users.create_email_placeholder': 'E-mail',
+    'admin.users.create_password_placeholder': 'Senha (deixe em branco para enviar convite)',
+    'admin.users.create_submit': 'Criar usuário',
+    'admin.users.created': 'Usuário criado.',
+    'admin.users.reset_password': 'Enviar redefinição de senha',
+    'admin.users.reset_sent': 'E-mail de redefinição de senha enviado.',
+    'admin.users.disable': 'Desabilitar',
+    'admin.users.enable': 'Reabilitar',
+    'admin.users.disabled': 'Conta desabilitada.',
+    'admin.users.enabled': 'Conta reabilitada.',
+    'admin.users.disabled_badge': 'Desabilitada',
+    'admin.users.disable_confirm': 'Desabilitar esta conta? O usuário não conseguirá entrar.',
     // Console admin — sessões/grants ativos de uma conta.
     'admin.sessions.page_title': 'Sessões ativas',
     'admin.sessions.title': 'Sessões ativas',
@@ -254,24 +626,73 @@ export const DEFAULT_MESSAGES = {
     // Mensagens de erro/flash produzidas pelos controllers.
     'errors.invalid_credentials': 'Credenciais inválidas',
     'errors.invalid_code': 'Código inválido',
+    'errors.account_disabled': 'Esta conta foi desabilitada.',
     'errors.email_taken': 'E-mail já cadastrado',
     'errors.signup_failed': 'Não foi possível criar a conta',
     'errors.invalid_or_expired_token': 'Token inválido ou expirado',
     'errors.account_locked': 'Conta temporariamente bloqueada por excesso de tentativas. Tente novamente em {seconds}s.',
+    'errors.session_expired': 'Sessão expirada',
+    'errors.challenge_expired': 'Desafio expirado',
+    'errors.passkeys_unavailable': 'Passkeys indisponíveis',
+    'errors.no_passkey_registered': 'Nenhuma passkey registrada',
+    // Assuntos/corpos de e-mail transacional (default_mailer).
+    'mail.common.link_fallback': 'Se o botão não funcionar, copie e cole este link no navegador:',
+    'mail.reset.subject': 'Redefinição de senha',
+    'mail.reset.heading': 'Redefinição de senha',
+    'mail.reset.intro': 'Recebemos um pedido para redefinir a senha da sua conta.',
+    'mail.reset.cta': 'Redefinir senha',
+    'mail.reset.fallback': 'Se você não solicitou isso, pode ignorar este e-mail.',
+    'mail.reset.expires': 'Este link expira em {minutes} minutos.',
+    'mail.verify.subject': 'Verifique seu e-mail',
+    'mail.verify.heading': 'Verifique seu e-mail',
+    'mail.verify.intro': 'Confirme seu endereço de e-mail para concluir a configuração da conta.',
+    'mail.verify.cta': 'Verificar e-mail',
+    'mail.verify.fallback': 'Se você não criou esta conta, pode ignorar este e-mail.',
+    'mail.verify.expires': 'Este link expira em {minutes} minutos.',
+    'mail.magic_link.subject': 'Seu link de login',
+    'mail.magic_link.heading': 'Entrar na sua conta',
+    'mail.magic_link.intro': 'Clique no botão abaixo para entrar. O link expira em breve e pode ser usado uma vez.',
+    'mail.magic_link.cta': 'Entrar',
+    'mail.magic_link.fallback': 'Se você não solicitou isso, pode ignorar este e-mail.',
+    'mail.new_login.subject': 'Novo login na sua conta',
+    'mail.new_login.heading': 'Novo login detectado',
+    'mail.new_login.intro': 'Detectamos um novo login na sua conta.',
+    'mail.new_login.when': 'Quando: {date}',
+    'mail.new_login.ip': 'Endereço IP: {ip}',
+    'mail.new_login.device': 'Dispositivo: {device}',
+    'mail.new_login.fallback': 'Se foi você, nenhuma ação é necessária. Caso contrário, redefina sua senha imediatamente.',
+    'mail.email_change.subject': 'Confirme seu novo e-mail',
+    'mail.email_change.heading': 'Confirme seu novo e-mail',
+    'mail.email_change.intro': 'Recebemos um pedido para trocar o e-mail da sua conta. Confirme o novo endereço abaixo.',
+    'mail.email_change.cta': 'Confirmar novo e-mail',
+    'mail.email_change.fallback': 'Se você não solicitou isso, pode ignorar este e-mail.',
+    'mail.email_change.expires': 'Este link expira em {minutes} minutos.',
+};
+/**
+ * Locales embutidos no host-kit. O `en` é o default; o `pt-BR` está disponível
+ * com `i18n: { locale: 'pt-BR' }` sem nenhuma config de mensagens extra. Os
+ * overrides/locales do host (via `I18nConfig.messages`) são mesclados por cima.
+ */
+export const BUILTIN_MESSAGES = {
+    en: DEFAULT_MESSAGES,
+    'pt-BR': PT_BR_MESSAGES,
 };
 /**
- * Resolve o catálogo ativo: mescla os overrides do locale selecionado SOBRE o
- * default pt-BR. Sem config, retorna os defaults intactos. Chaves omitidas pelo
- * locale escolhido caem no default pt-BR (fallback de cobertura).
+ * Resolve o catálogo ativo. Começa do catálogo embutido do locale selecionado
+ * (ou do default `en` quando o locale não é embutido), depois mescla os
+ * overrides do host por cima. Sem config, retorna o default `en` intacto.
+ * Chaves omitidas caem no default `en` (fallback de cobertura).
  */
 export function resolveMessages(i18n) {
-    const base = { ...DEFAULT_MESSAGES };
     const locale = i18n?.locale ?? DEFAULT_LOCALE;
+    // Base: sempre o default `en` para garantir cobertura total das chaves; o
+    // catálogo embutido do locale (ex.: pt-BR) é mesclado por cima.
+    const base = { ...DEFAULT_MESSAGES, ...(BUILTIN_MESSAGES[locale] ?? {}) };
     const overrides = i18n?.messages?.[locale];
     if (!overrides)
         return base;
     // Mescla só valores definidos (o `Partial` permite undefined); chaves omitidas
-    // seguem caindo no default pt-BR.
+    // seguem caindo no catálogo base.
     for (const [key, value] of Object.entries(overrides)) {
         if (value !== undefined)
             base[key] = value;

package/build/src/host/login_attempt.d.ts

@@ -20,6 +20,7 @@ export type PasswordLoginResult = {
     ok: false;
     locked: boolean;
     retryAfterSec?: number;
+    disabled?: boolean;
 };
 /**
  * Sequência canônica de login por senha + bloqueio progressivo, compartilhada

package/build/src/host/login_attempt.js

@@ -1,3 +1,4 @@
+import { supportsAccountStatus } from '../accounts/account_store.js';
 import { createAccountLockout } from './account_lockout.js';
 /**
  * Sequência canônica de login por senha + bloqueio progressivo, compartilhada
@@ -31,6 +32,16 @@ export async function attemptPasswordLogin(cfg, input) {
         await lockout.recordFailure(email, { sink: cfg.audit, ip });
         return { ok: false, locked: false };
     }
+    // Conta desabilitada: rejeita o login (mesmo com senha correta). A capacidade é
+    // opcional — só checada quando o store a implementa. Emite `login.failure` (com
+    // motivo `disabled` no metadata) e NÃO registra falha no lockout (não é tentativa
+    // de adivinhar senha).
+    if (supportsAccountStatus(cfg.accountStore) && (await cfg.accountStore.isDisabled(account.id))) {
+        await cfg.audit?.record(input.clientId !== undefined
+            ? { type: 'login.failure', email, ip, clientId: input.clientId, metadata: { reason: 'disabled' } }
+            : { type: 'login.failure', email, ip, metadata: { reason: 'disabled' } });
+        return { ok: false, locked: false, disabled: true };
+    }
     // Senha correta: limpa o contador de falhas (o lockout protege a etapa de senha).
     await lockout.clearFailures(email);
     return { ok: true, account };

package/build/src/host/register_auth_host.js

@@ -53,6 +53,7 @@ const C = {
     accountSession: () => import('./controllers/account_session_controller.js'),
     accountTokens: () => import('./controllers/account_tokens_controller.js'),
     accountSecurity: () => import('./controllers/account_security_controller.js'),
+    accountApps: () => import('./controllers/account_apps_controller.js'),
     accountMfa: () => import('./controllers/account_mfa_controller.js'),
     adminDashboard: () => import('./controllers/admin/admin_dashboard_controller.js'),
     adminUsers: () => import('./controllers/admin/admin_users_controller.js'),
@@ -88,6 +89,9 @@ export function registerAuthHost(router, opts) {
     // Passkey como 2º fator alternativo no login (begin/finish; challenge na sessão).
     router.post('/auth/interaction/:uid/passkey/options', [C.interaction, 'passkeyOptions']);
     withLogin(router.post('/auth/interaction/:uid/passkey/verify', [C.interaction, 'passkeyVerify']));
+    // Magic link (passwordless): POST emite (throttled), GET consome o token do link.
+    withLogin(router.post('/auth/interaction/:uid/magic', [C.interaction, 'magicLinkRequest']));
+    router.get('/auth/interaction/:uid/magic', [C.interaction, 'magicLinkConsume']);
     router.post('/auth/interaction/:uid/consent', [C.interaction, 'consent']);
     router.get('/auth/interaction/:uid/switch', [C.interaction, 'switchIdentifier']);
     router.get('/auth/interaction/:uid/signup', [C.registration, 'showSignup']);
@@ -119,10 +123,19 @@ export function registerAuthHost(router, opts) {
         router.get('/account/tokens', [C.accountTokens, 'index']);
         router.post('/account/tokens', [C.accountTokens, 'store']);
         router.post('/account/tokens/:id/revoke', [C.accountTokens, 'destroy']);
-        // Segurança da conta: trocar senha + solicitar troca de e-mail.
+        // Segurança da conta: trocar senha + solicitar troca de e-mail + perfil.
         router.get('/account/security', [C.accountSecurity, 'index']);
         router.post('/account/security/password', [C.accountSecurity, 'changePassword']);
         router.post('/account/security/email', [C.accountSecurity, 'changeEmail']);
+        router.post('/account/security/profile', [C.accountSecurity, 'updateProfile']);
+        // Trusted devices: limpa o cookie de confiança DESTE navegador.
+        router.post('/account/security/trusted-devices/revoke', [
+            C.accountSecurity,
+            'revokeTrustedDevices',
+        ]);
+        // Apps com acesso (consentimento): lista os grants da conta + revogação por client.
+        router.get('/account/apps', [C.accountApps, 'index']);
+        router.post('/account/apps/:clientId/revoke', [C.accountApps, 'revoke']);
         // MFA / TOTP (enrollment, confirmação, disable).
         router.get('/account/mfa', [C.accountMfa, 'index']);
         router.post('/account/mfa/enroll', [C.accountMfa, 'enroll']);
@@ -140,7 +153,11 @@ export function registerAuthHost(router, opts) {
             .group(() => {
             router.get('/admin', [C.adminDashboard, 'index']);
             router.get('/admin/users', [C.adminUsers, 'index']);
+            router.post('/admin/users', [C.adminUsers, 'store']);
             router.post('/admin/users/:id/roles', [C.adminUsers, 'updateRoles']);
+            router.post('/admin/users/:id/reset-password', [C.adminUsers, 'resetPassword']);
+            router.post('/admin/users/:id/disable', [C.adminUsers, 'disable']);
+            router.post('/admin/users/:id/enable', [C.adminUsers, 'enable']);
             // Sessões/grants ativos da conta + revogação em massa.
             router.get('/admin/users/:id/sessions', [C.adminSessions, 'index']);
             router.post('/admin/users/:id/revoke-sessions', [C.adminSessions, 'revoke']);