@dudousxd/adonis-authkit-server 0.5.0 → 0.6.0

package/build/src/host/default_mailer.js

@@ -197,6 +197,34 @@ export async function sendNewLoginEmail(ctx, data) {
         ctx.logger.error({ err: error, email: data.email }, 'authkit: falha ao enviar alerta de novo acesso');
     }
 }
+/**
+ * Envia o e-mail de magic link (login passwordless) pelo mailer default do host.
+ * Best-effort: no fallback (sem mail) loga o link; nunca lança.
+ */
+export async function sendMagicLinkEmail(ctx, data) {
+    try {
+        const brand = resolveBrand(ctx);
+        const { messages: t, locale } = resolveMailMessages(ctx);
+        const content = renderTransactionalEmail({
+            brand,
+            locale,
+            linkFallback: translate(t, 'mail.common.link_fallback'),
+            subject: translate(t, 'mail.magic_link.subject'),
+            heading: translate(t, 'mail.magic_link.heading'),
+            intro: translate(t, 'mail.magic_link.intro'),
+            ctaLabel: translate(t, 'mail.magic_link.cta'),
+            ctaUrl: data.magicUrl,
+            footnote: translate(t, 'mail.magic_link.fallback'),
+        });
+        const sent = await sendEmail(ctx, data.email, content);
+        if (!sent) {
+            ctx.logger.info({ magicUrl: data.magicUrl, email: data.email }, 'authkit: magic link de login (dev — @adonisjs/mail ausente)');
+        }
+    }
+    catch (error) {
+        ctx.logger.error({ err: error, email: data.email }, 'authkit: falha ao enviar magic link de login');
+    }
+}
 /**
  * Envia o e-mail de verificação pelo mailer default do host.
  * Best-effort: no fallback (sem mail) loga o link; nunca lança.

package/build/src/host/i18n.d.ts

@@ -44,6 +44,9 @@ export declare const DEFAULT_MESSAGES: {
     'login.switch_account': string;
     'login.password_label': string;
     'login.submit': string;
+    'login.magic_link_button': string;
+    'login.magic_link_sent': string;
+    'login.passkey_button': string;
     'signup.page_title': string;
     'signup.title': string;
     'signup.intro': string;
@@ -80,6 +83,7 @@ export declare const DEFAULT_MESSAGES: {
     'mfa_challenge.recovery_submit': string;
     'mfa_challenge.passkey_button': string;
     'mfa_challenge.passkey_error': string;
+    'mfa_challenge.trust_device': string;
     'consent.page_title': string;
     'consent.title': string;
     'consent.body': string;
@@ -121,6 +125,27 @@ export declare const DEFAULT_MESSAGES: {
     'account.security.change_email_submit': string;
     'account.security.email_change_requested': string;
     'account.security.email_changed': string;
+    'account.security.trusted_devices_section': string;
+    'account.security.trusted_devices_intro': string;
+    'account.security.trusted_devices_revoke': string;
+    'account.security.trusted_devices_revoked': string;
+    'account.profile.section': string;
+    'account.profile.intro': string;
+    'account.profile.name_label': string;
+    'account.profile.avatar_label': string;
+    'account.profile.submit': string;
+    'account.profile.updated': string;
+    'account.profile.not_supported': string;
+    'account.apps.page_title': string;
+    'account.apps.title': string;
+    'account.apps.intro': string;
+    'account.apps.logout': string;
+    'account.apps.empty': string;
+    'account.apps.tokens': string;
+    'account.apps.revoke': string;
+    'account.apps.revoke_confirm': string;
+    'account.apps.revoked': string;
+    'account.apps.not_supported': string;
     'account.email_confirmed.page_title': string;
     'account.email_confirmed.ok_title': string;
     'account.email_confirmed.ok_body': string;
@@ -167,6 +192,20 @@ export declare const DEFAULT_MESSAGES: {
     'admin.users.roles_placeholder': string;
     'admin.users.save_roles': string;
     'admin.users.sessions': string;
+    'admin.users.create_section': string;
+    'admin.users.create_name_placeholder': string;
+    'admin.users.create_email_placeholder': string;
+    'admin.users.create_password_placeholder': string;
+    'admin.users.create_submit': string;
+    'admin.users.created': string;
+    'admin.users.reset_password': string;
+    'admin.users.reset_sent': string;
+    'admin.users.disable': string;
+    'admin.users.enable': string;
+    'admin.users.disabled': string;
+    'admin.users.enabled': string;
+    'admin.users.disabled_badge': string;
+    'admin.users.disable_confirm': string;
     'admin.sessions.page_title': string;
     'admin.sessions.title': string;
     'admin.sessions.account': string;
@@ -243,6 +282,7 @@ export declare const DEFAULT_MESSAGES: {
     'mfa_challenge.required_no_enrollment': string;
     'errors.invalid_credentials': string;
     'errors.invalid_code': string;
+    'errors.account_disabled': string;
     'errors.email_taken': string;
     'errors.signup_failed': string;
     'errors.invalid_or_expired_token': string;
@@ -264,6 +304,11 @@ export declare const DEFAULT_MESSAGES: {
     'mail.verify.cta': string;
     'mail.verify.fallback': string;
     'mail.verify.expires': string;
+    'mail.magic_link.subject': string;
+    'mail.magic_link.heading': string;
+    'mail.magic_link.intro': string;
+    'mail.magic_link.cta': string;
+    'mail.magic_link.fallback': string;
     'mail.new_login.subject': string;
     'mail.new_login.heading': string;
     'mail.new_login.intro': string;
@@ -298,6 +343,9 @@ export declare const PT_BR_MESSAGES: {
     'login.switch_account': string;
     'login.password_label': string;
     'login.submit': string;
+    'login.magic_link_button': string;
+    'login.magic_link_sent': string;
+    'login.passkey_button': string;
     'signup.page_title': string;
     'signup.title': string;
     'signup.intro': string;
@@ -334,6 +382,7 @@ export declare const PT_BR_MESSAGES: {
     'mfa_challenge.recovery_submit': string;
     'mfa_challenge.passkey_button': string;
     'mfa_challenge.passkey_error': string;
+    'mfa_challenge.trust_device': string;
     'consent.page_title': string;
     'consent.title': string;
     'consent.body': string;
@@ -375,6 +424,27 @@ export declare const PT_BR_MESSAGES: {
     'account.security.change_email_submit': string;
     'account.security.email_change_requested': string;
     'account.security.email_changed': string;
+    'account.security.trusted_devices_section': string;
+    'account.security.trusted_devices_intro': string;
+    'account.security.trusted_devices_revoke': string;
+    'account.security.trusted_devices_revoked': string;
+    'account.profile.section': string;
+    'account.profile.intro': string;
+    'account.profile.name_label': string;
+    'account.profile.avatar_label': string;
+    'account.profile.submit': string;
+    'account.profile.updated': string;
+    'account.profile.not_supported': string;
+    'account.apps.page_title': string;
+    'account.apps.title': string;
+    'account.apps.intro': string;
+    'account.apps.logout': string;
+    'account.apps.empty': string;
+    'account.apps.tokens': string;
+    'account.apps.revoke': string;
+    'account.apps.revoke_confirm': string;
+    'account.apps.revoked': string;
+    'account.apps.not_supported': string;
     'account.email_confirmed.page_title': string;
     'account.email_confirmed.ok_title': string;
     'account.email_confirmed.ok_body': string;
@@ -421,6 +491,20 @@ export declare const PT_BR_MESSAGES: {
     'admin.users.roles_placeholder': string;
     'admin.users.save_roles': string;
     'admin.users.sessions': string;
+    'admin.users.create_section': string;
+    'admin.users.create_name_placeholder': string;
+    'admin.users.create_email_placeholder': string;
+    'admin.users.create_password_placeholder': string;
+    'admin.users.create_submit': string;
+    'admin.users.created': string;
+    'admin.users.reset_password': string;
+    'admin.users.reset_sent': string;
+    'admin.users.disable': string;
+    'admin.users.enable': string;
+    'admin.users.disabled': string;
+    'admin.users.enabled': string;
+    'admin.users.disabled_badge': string;
+    'admin.users.disable_confirm': string;
     'admin.sessions.page_title': string;
     'admin.sessions.title': string;
     'admin.sessions.account': string;
@@ -497,6 +581,7 @@ export declare const PT_BR_MESSAGES: {
     'mfa_challenge.required_no_enrollment': string;
     'errors.invalid_credentials': string;
     'errors.invalid_code': string;
+    'errors.account_disabled': string;
     'errors.email_taken': string;
     'errors.signup_failed': string;
     'errors.invalid_or_expired_token': string;
@@ -518,6 +603,11 @@ export declare const PT_BR_MESSAGES: {
     'mail.verify.cta': string;
     'mail.verify.fallback': string;
     'mail.verify.expires': string;
+    'mail.magic_link.subject': string;
+    'mail.magic_link.heading': string;
+    'mail.magic_link.intro': string;
+    'mail.magic_link.cta': string;
+    'mail.magic_link.fallback': string;
     'mail.new_login.subject': string;
     'mail.new_login.heading': string;
     'mail.new_login.intro': string;

package/build/src/host/i18n.js

@@ -32,6 +32,10 @@ export const DEFAULT_MESSAGES = {
     'login.switch_account': 'Switch account',
     'login.password_label': 'Password',
     'login.submit': 'Log in',
+    // Passwordless (login).
+    'login.magic_link_button': 'Email me a login link',
+    'login.magic_link_sent': 'If the account exists, we sent you a login link.',
+    'login.passkey_button': 'Sign in with a passkey',
     // Tela de cadastro (signup).
     'signup.page_title': 'Create account',
     'signup.title': 'Create account',
@@ -73,6 +77,7 @@ export const DEFAULT_MESSAGES = {
     'mfa_challenge.recovery_submit': 'Log in with a recovery code',
     'mfa_challenge.passkey_button': 'Use passkey',
     'mfa_challenge.passkey_error': 'Could not authenticate with the passkey. Please try again.',
+    'mfa_challenge.trust_device': 'Trust this device for {days} days',
     // Consent (autorização de cliente OIDC).
     'consent.page_title': 'Authorize',
     'consent.title': 'Authorize access',
@@ -120,6 +125,30 @@ export const DEFAULT_MESSAGES = {
     'account.security.change_email_submit': 'Request email change',
     'account.security.email_change_requested': 'We sent a confirmation link to {email}. Click it to complete the change.',
     'account.security.email_changed': 'Email changed successfully.',
+    // Trusted devices (account/security).
+    'account.security.trusted_devices_section': 'Trusted devices',
+    'account.security.trusted_devices_intro': 'You can stop trusting this browser so two-factor is required here again. To revoke trust on all devices, re-enroll your authenticator.',
+    'account.security.trusted_devices_revoke': 'Stop trusting this device',
+    'account.security.trusted_devices_revoked': 'This device is no longer trusted. Two-factor will be required here again.',
+    // Console de conta — perfil (seção em account/security).
+    'account.profile.section': 'Profile',
+    'account.profile.intro': 'Update your display name and avatar.',
+    'account.profile.name_label': 'Name',
+    'account.profile.avatar_label': 'Avatar URL',
+    'account.profile.submit': 'Save profile',
+    'account.profile.updated': 'Profile updated successfully.',
+    'account.profile.not_supported': 'Profile editing is not available in this installation.',
+    // Console de conta — apps com acesso (account/apps).
+    'account.apps.page_title': 'Apps with access',
+    'account.apps.title': 'Apps with access',
+    'account.apps.intro': 'Apps you have authorized to access your account.',
+    'account.apps.logout': 'Log out',
+    'account.apps.empty': 'No apps have access to your account.',
+    'account.apps.tokens': '{accessTokens} access · {refreshTokens} refresh',
+    'account.apps.revoke': 'Revoke access',
+    'account.apps.revoke_confirm': 'Revoke this app’s access? It will need to be authorized again and its tokens will stop working.',
+    'account.apps.revoked': 'Access revoked.',
+    'account.apps.not_supported': 'The configured OIDC adapter does not support enumeration — listing apps is unavailable.',
     // Confirmação de troca de e-mail (account/email-confirmed).
     'account.email_confirmed.page_title': 'Email confirmation',
     'account.email_confirmed.ok_title': 'Email changed',
@@ -172,6 +201,20 @@ export const DEFAULT_MESSAGES = {
     'admin.users.roles_placeholder': 'Roles (comma-separated)',
     'admin.users.save_roles': 'Save roles',
     'admin.users.sessions': 'Sessions',
+    'admin.users.create_section': 'Create user',
+    'admin.users.create_name_placeholder': 'Name (optional)',
+    'admin.users.create_email_placeholder': 'Email',
+    'admin.users.create_password_placeholder': 'Password (leave blank to send invite)',
+    'admin.users.create_submit': 'Create user',
+    'admin.users.created': 'User created.',
+    'admin.users.reset_password': 'Send password reset',
+    'admin.users.reset_sent': 'Password reset email sent.',
+    'admin.users.disable': 'Disable',
+    'admin.users.enable': 'Enable',
+    'admin.users.disabled': 'Account disabled.',
+    'admin.users.enabled': 'Account enabled.',
+    'admin.users.disabled_badge': 'Disabled',
+    'admin.users.disable_confirm': 'Disable this account? The user will not be able to log in.',
     // Console admin — sessões/grants ativos de uma conta.
     'admin.sessions.page_title': 'Active sessions',
     'admin.sessions.title': 'Active sessions',
@@ -255,6 +298,7 @@ export const DEFAULT_MESSAGES = {
     // Mensagens de erro/flash produzidas pelos controllers.
     'errors.invalid_credentials': 'Invalid credentials',
     'errors.invalid_code': 'Invalid code',
+    'errors.account_disabled': 'This account has been disabled.',
     'errors.email_taken': 'Email already registered',
     'errors.signup_failed': 'Could not create the account',
     'errors.invalid_or_expired_token': 'Invalid or expired token',
@@ -277,6 +321,11 @@ export const DEFAULT_MESSAGES = {
     'mail.verify.cta': 'Verify email',
     'mail.verify.fallback': 'If you did not create this account, you can ignore this email.',
     'mail.verify.expires': 'This link expires in {minutes} minutes.',
+    'mail.magic_link.subject': 'Your login link',
+    'mail.magic_link.heading': 'Sign in to your account',
+    'mail.magic_link.intro': 'Click the button below to sign in. The link expires shortly and can be used once.',
+    'mail.magic_link.cta': 'Sign in',
+    'mail.magic_link.fallback': 'If you did not request this, you can ignore this email.',
     'mail.new_login.subject': 'New login to your account',
     'mail.new_login.heading': 'New login detected',
     'mail.new_login.intro': 'We detected a new login to your account.',
@@ -313,6 +362,10 @@ export const PT_BR_MESSAGES = {
     'login.switch_account': 'Trocar de conta',
     'login.password_label': 'Senha',
     'login.submit': 'Entrar',
+    // Passwordless (login).
+    'login.magic_link_button': 'Me envie um link de login',
+    'login.magic_link_sent': 'Se a conta existir, enviamos um link de login.',
+    'login.passkey_button': 'Entrar com passkey',
     // Tela de cadastro (signup).
     'signup.page_title': 'Criar conta',
     'signup.title': 'Criar conta',
@@ -354,6 +407,7 @@ export const PT_BR_MESSAGES = {
     'mfa_challenge.recovery_submit': 'Entrar com código de recuperação',
     'mfa_challenge.passkey_button': 'Usar passkey',
     'mfa_challenge.passkey_error': 'Não foi possível autenticar com a passkey. Tente novamente.',
+    'mfa_challenge.trust_device': 'Confiar neste dispositivo por {days} dias',
     // Consent (autorização de cliente OIDC).
     'consent.page_title': 'Autorizar',
     'consent.title': 'Autorizar acesso',
@@ -399,6 +453,30 @@ export const PT_BR_MESSAGES = {
     'account.security.change_email_submit': 'Solicitar troca de e-mail',
     'account.security.email_change_requested': 'Enviamos um link de confirmação para {email}. Clique nele para concluir a troca.',
     'account.security.email_changed': 'E-mail alterado com sucesso.',
+    // Trusted devices (account/security).
+    'account.security.trusted_devices_section': 'Dispositivos confiáveis',
+    'account.security.trusted_devices_intro': 'Você pode deixar de confiar neste navegador para que a verificação em duas etapas volte a ser exigida aqui. Para revogar a confiança em todos os dispositivos, refaça o cadastro do seu autenticador.',
+    'account.security.trusted_devices_revoke': 'Deixar de confiar neste dispositivo',
+    'account.security.trusted_devices_revoked': 'Este dispositivo não é mais confiável. A verificação em duas etapas voltará a ser exigida aqui.',
+    // Console de conta — perfil (seção em account/security).
+    'account.profile.section': 'Perfil',
+    'account.profile.intro': 'Atualize seu nome de exibição e avatar.',
+    'account.profile.name_label': 'Nome',
+    'account.profile.avatar_label': 'URL do avatar',
+    'account.profile.submit': 'Salvar perfil',
+    'account.profile.updated': 'Perfil atualizado com sucesso.',
+    'account.profile.not_supported': 'A edição de perfil não está disponível nesta instalação.',
+    // Console de conta — apps com acesso (account/apps).
+    'account.apps.page_title': 'Apps com acesso',
+    'account.apps.title': 'Apps com acesso',
+    'account.apps.intro': 'Apps que você autorizou a acessar sua conta.',
+    'account.apps.logout': 'Sair',
+    'account.apps.empty': 'Nenhum app tem acesso à sua conta.',
+    'account.apps.tokens': '{accessTokens} access · {refreshTokens} refresh',
+    'account.apps.revoke': 'Revogar acesso',
+    'account.apps.revoke_confirm': 'Revogar o acesso deste app? Ele precisará ser autorizado novamente e seus tokens deixarão de funcionar.',
+    'account.apps.revoked': 'Acesso revogado.',
+    'account.apps.not_supported': 'O adapter OIDC configurado não suporta enumeração — a listagem de apps fica indisponível.',
     // Confirmação de troca de e-mail (account/email-confirmed).
     'account.email_confirmed.page_title': 'Confirmação de e-mail',
     'account.email_confirmed.ok_title': 'E-mail alterado',
@@ -451,6 +529,20 @@ export const PT_BR_MESSAGES = {
     'admin.users.roles_placeholder': 'Papéis (separados por vírgula)',
     'admin.users.save_roles': 'Salvar papéis',
     'admin.users.sessions': 'Sessões',
+    'admin.users.create_section': 'Criar usuário',
+    'admin.users.create_name_placeholder': 'Nome (opcional)',
+    'admin.users.create_email_placeholder': 'E-mail',
+    'admin.users.create_password_placeholder': 'Senha (deixe em branco para enviar convite)',
+    'admin.users.create_submit': 'Criar usuário',
+    'admin.users.created': 'Usuário criado.',
+    'admin.users.reset_password': 'Enviar redefinição de senha',
+    'admin.users.reset_sent': 'E-mail de redefinição de senha enviado.',
+    'admin.users.disable': 'Desabilitar',
+    'admin.users.enable': 'Reabilitar',
+    'admin.users.disabled': 'Conta desabilitada.',
+    'admin.users.enabled': 'Conta reabilitada.',
+    'admin.users.disabled_badge': 'Desabilitada',
+    'admin.users.disable_confirm': 'Desabilitar esta conta? O usuário não conseguirá entrar.',
     // Console admin — sessões/grants ativos de uma conta.
     'admin.sessions.page_title': 'Sessões ativas',
     'admin.sessions.title': 'Sessões ativas',
@@ -534,6 +626,7 @@ export const PT_BR_MESSAGES = {
     // Mensagens de erro/flash produzidas pelos controllers.
     'errors.invalid_credentials': 'Credenciais inválidas',
     'errors.invalid_code': 'Código inválido',
+    'errors.account_disabled': 'Esta conta foi desabilitada.',
     'errors.email_taken': 'E-mail já cadastrado',
     'errors.signup_failed': 'Não foi possível criar a conta',
     'errors.invalid_or_expired_token': 'Token inválido ou expirado',
@@ -556,6 +649,11 @@ export const PT_BR_MESSAGES = {
     'mail.verify.cta': 'Verificar e-mail',
     'mail.verify.fallback': 'Se você não criou esta conta, pode ignorar este e-mail.',
     'mail.verify.expires': 'Este link expira em {minutes} minutos.',
+    'mail.magic_link.subject': 'Seu link de login',
+    'mail.magic_link.heading': 'Entrar na sua conta',
+    'mail.magic_link.intro': 'Clique no botão abaixo para entrar. O link expira em breve e pode ser usado uma vez.',
+    'mail.magic_link.cta': 'Entrar',
+    'mail.magic_link.fallback': 'Se você não solicitou isso, pode ignorar este e-mail.',
     'mail.new_login.subject': 'Novo login na sua conta',
     'mail.new_login.heading': 'Novo login detectado',
     'mail.new_login.intro': 'Detectamos um novo login na sua conta.',

package/build/src/host/login_attempt.d.ts

@@ -20,6 +20,7 @@ export type PasswordLoginResult = {
     ok: false;
     locked: boolean;
     retryAfterSec?: number;
+    disabled?: boolean;
 };
 /**
  * Sequência canônica de login por senha + bloqueio progressivo, compartilhada

package/build/src/host/login_attempt.js

@@ -1,3 +1,4 @@
+import { supportsAccountStatus } from '../accounts/account_store.js';
 import { createAccountLockout } from './account_lockout.js';
 /**
  * Sequência canônica de login por senha + bloqueio progressivo, compartilhada
@@ -31,6 +32,16 @@ export async function attemptPasswordLogin(cfg, input) {
         await lockout.recordFailure(email, { sink: cfg.audit, ip });
         return { ok: false, locked: false };
     }
+    // Conta desabilitada: rejeita o login (mesmo com senha correta). A capacidade é
+    // opcional — só checada quando o store a implementa. Emite `login.failure` (com
+    // motivo `disabled` no metadata) e NÃO registra falha no lockout (não é tentativa
+    // de adivinhar senha).
+    if (supportsAccountStatus(cfg.accountStore) && (await cfg.accountStore.isDisabled(account.id))) {
+        await cfg.audit?.record(input.clientId !== undefined
+            ? { type: 'login.failure', email, ip, clientId: input.clientId, metadata: { reason: 'disabled' } }
+            : { type: 'login.failure', email, ip, metadata: { reason: 'disabled' } });
+        return { ok: false, locked: false, disabled: true };
+    }
     // Senha correta: limpa o contador de falhas (o lockout protege a etapa de senha).
     await lockout.clearFailures(email);
     return { ok: true, account };

package/build/src/host/register_auth_host.js

@@ -53,6 +53,7 @@ const C = {
     accountSession: () => import('./controllers/account_session_controller.js'),
     accountTokens: () => import('./controllers/account_tokens_controller.js'),
     accountSecurity: () => import('./controllers/account_security_controller.js'),
+    accountApps: () => import('./controllers/account_apps_controller.js'),
     accountMfa: () => import('./controllers/account_mfa_controller.js'),
     adminDashboard: () => import('./controllers/admin/admin_dashboard_controller.js'),
     adminUsers: () => import('./controllers/admin/admin_users_controller.js'),
@@ -88,6 +89,9 @@ export function registerAuthHost(router, opts) {
     // Passkey como 2º fator alternativo no login (begin/finish; challenge na sessão).
     router.post('/auth/interaction/:uid/passkey/options', [C.interaction, 'passkeyOptions']);
     withLogin(router.post('/auth/interaction/:uid/passkey/verify', [C.interaction, 'passkeyVerify']));
+    // Magic link (passwordless): POST emite (throttled), GET consome o token do link.
+    withLogin(router.post('/auth/interaction/:uid/magic', [C.interaction, 'magicLinkRequest']));
+    router.get('/auth/interaction/:uid/magic', [C.interaction, 'magicLinkConsume']);
     router.post('/auth/interaction/:uid/consent', [C.interaction, 'consent']);
     router.get('/auth/interaction/:uid/switch', [C.interaction, 'switchIdentifier']);
     router.get('/auth/interaction/:uid/signup', [C.registration, 'showSignup']);
@@ -119,10 +123,19 @@ export function registerAuthHost(router, opts) {
         router.get('/account/tokens', [C.accountTokens, 'index']);
         router.post('/account/tokens', [C.accountTokens, 'store']);
         router.post('/account/tokens/:id/revoke', [C.accountTokens, 'destroy']);
-        // Segurança da conta: trocar senha + solicitar troca de e-mail.
+        // Segurança da conta: trocar senha + solicitar troca de e-mail + perfil.
         router.get('/account/security', [C.accountSecurity, 'index']);
         router.post('/account/security/password', [C.accountSecurity, 'changePassword']);
         router.post('/account/security/email', [C.accountSecurity, 'changeEmail']);
+        router.post('/account/security/profile', [C.accountSecurity, 'updateProfile']);
+        // Trusted devices: limpa o cookie de confiança DESTE navegador.
+        router.post('/account/security/trusted-devices/revoke', [
+            C.accountSecurity,
+            'revokeTrustedDevices',
+        ]);
+        // Apps com acesso (consentimento): lista os grants da conta + revogação por client.
+        router.get('/account/apps', [C.accountApps, 'index']);
+        router.post('/account/apps/:clientId/revoke', [C.accountApps, 'revoke']);
         // MFA / TOTP (enrollment, confirmação, disable).
         router.get('/account/mfa', [C.accountMfa, 'index']);
         router.post('/account/mfa/enroll', [C.accountMfa, 'enroll']);
@@ -140,7 +153,11 @@ export function registerAuthHost(router, opts) {
             .group(() => {
             router.get('/admin', [C.adminDashboard, 'index']);
             router.get('/admin/users', [C.adminUsers, 'index']);
+            router.post('/admin/users', [C.adminUsers, 'store']);
             router.post('/admin/users/:id/roles', [C.adminUsers, 'updateRoles']);
+            router.post('/admin/users/:id/reset-password', [C.adminUsers, 'resetPassword']);
+            router.post('/admin/users/:id/disable', [C.adminUsers, 'disable']);
+            router.post('/admin/users/:id/enable', [C.adminUsers, 'enable']);
             // Sessões/grants ativos da conta + revogação em massa.
             router.get('/admin/users/:id/sessions', [C.adminSessions, 'index']);
             router.post('/admin/users/:id/revoke-sessions', [C.adminSessions, 'revoke']);

package/build/src/host/trusted_device.d.ts

@@ -0,0 +1,61 @@
+/**
+ * "Trusted devices" — pular o 2º fator (MFA) neste dispositivo por N dias.
+ *
+ * Mecanismo SEM novos requisitos de DB: um cookie httpOnly assinado/encriptado
+ * com a appKey do host (via `response.encryptedCookie` / `request.encryptedCookie`,
+ * que são appKey-backed). O cookie carrega `{ a: accountId, d: deviceId, iat, exp }`.
+ *
+ * Validação (ver {@link isTrustedDeviceValid}):
+ *   - `exp` ainda no futuro;
+ *   - `a` casa com a conta que acabou de passar pela senha;
+ *   - `iat >= mfaEnabledAt` — re-enrolar o MFA invalida cookies antigos (revogação
+ *     por re-enrollment, sem estado server-side).
+ *
+ * Step-up (acr_values pedindo o mfaAcr) SEMPRE ignora o cookie e força o MFA — a
+ * decisão fica no controller, antes de checar o cookie.
+ *
+ * Limitação conhecida (documentada): NÃO há uma lista de revogação por-dispositivo
+ * server-side; a revogação disponível é "revogar todos" via re-enrollment do MFA.
+ * Uma allowlist/denylist persistida fica como trabalho futuro.
+ */
+/** Nome do cookie de dispositivo confiável. */
+export declare const TRUSTED_DEVICE_COOKIE = "authkit_trusted_device";
+/** Payload guardado (encriptado) no cookie de dispositivo confiável. */
+export interface TrustedDevicePayload {
+    /** accountId ao qual a confiança pertence. */
+    a: string;
+    /** id opaco do dispositivo (para futura revogação por-dispositivo). */
+    d: string;
+    /** issued-at (epoch ms). */
+    iat: number;
+    /** expiry (epoch ms). */
+    exp: number;
+}
+export interface TrustedDevicesConfigInput {
+    /** Liga o mecanismo de trusted devices. Default: true. */
+    enabled?: boolean;
+    /** Validade da confiança em dias. Default: 30. */
+    days?: number;
+}
+export interface ResolvedTrustedDevicesConfig {
+    enabled: boolean;
+    days: number;
+}
+export declare function resolveTrustedDevices(input?: TrustedDevicesConfigInput): ResolvedTrustedDevicesConfig;
+/** Constrói o payload de um novo cookie de confiança para a conta. */
+export declare function buildTrustedDevicePayload(accountId: string, cfg: ResolvedTrustedDevicesConfig, now?: number): TrustedDevicePayload;
+/**
+ * `true` se o payload do cookie é uma confiança VÁLIDA para `accountId`:
+ *   - estrutura íntegra;
+ *   - pertence à conta certa;
+ *   - não expirou;
+ *   - foi emitido em/depois do último (re)enrollment de MFA (`mfaEnabledAt`).
+ *
+ * `mfaEnabledAt` em epoch ms (ou null quando o store não rastreia — nesse caso a
+ * checagem de re-enrollment é pulada, mantendo a validade por expiração apenas).
+ */
+export declare function isTrustedDeviceValid(payload: unknown, opts: {
+    accountId: string;
+    mfaEnabledAt?: number | null;
+    now?: number;
+}): boolean;

package/build/src/host/trusted_device.js

@@ -0,0 +1,65 @@
+import { randomBytes } from 'node:crypto';
+/**
+ * "Trusted devices" — pular o 2º fator (MFA) neste dispositivo por N dias.
+ *
+ * Mecanismo SEM novos requisitos de DB: um cookie httpOnly assinado/encriptado
+ * com a appKey do host (via `response.encryptedCookie` / `request.encryptedCookie`,
+ * que são appKey-backed). O cookie carrega `{ a: accountId, d: deviceId, iat, exp }`.
+ *
+ * Validação (ver {@link isTrustedDeviceValid}):
+ *   - `exp` ainda no futuro;
+ *   - `a` casa com a conta que acabou de passar pela senha;
+ *   - `iat >= mfaEnabledAt` — re-enrolar o MFA invalida cookies antigos (revogação
+ *     por re-enrollment, sem estado server-side).
+ *
+ * Step-up (acr_values pedindo o mfaAcr) SEMPRE ignora o cookie e força o MFA — a
+ * decisão fica no controller, antes de checar o cookie.
+ *
+ * Limitação conhecida (documentada): NÃO há uma lista de revogação por-dispositivo
+ * server-side; a revogação disponível é "revogar todos" via re-enrollment do MFA.
+ * Uma allowlist/denylist persistida fica como trabalho futuro.
+ */
+/** Nome do cookie de dispositivo confiável. */
+export const TRUSTED_DEVICE_COOKIE = 'authkit_trusted_device';
+export function resolveTrustedDevices(input) {
+    return {
+        enabled: input?.enabled ?? true,
+        days: input?.days && input.days > 0 ? input.days : 30,
+    };
+}
+/** Constrói o payload de um novo cookie de confiança para a conta. */
+export function buildTrustedDevicePayload(accountId, cfg, now = Date.now()) {
+    return {
+        a: accountId,
+        d: randomBytes(16).toString('hex'),
+        iat: now,
+        exp: now + cfg.days * 24 * 60 * 60 * 1000,
+    };
+}
+/**
+ * `true` se o payload do cookie é uma confiança VÁLIDA para `accountId`:
+ *   - estrutura íntegra;
+ *   - pertence à conta certa;
+ *   - não expirou;
+ *   - foi emitido em/depois do último (re)enrollment de MFA (`mfaEnabledAt`).
+ *
+ * `mfaEnabledAt` em epoch ms (ou null quando o store não rastreia — nesse caso a
+ * checagem de re-enrollment é pulada, mantendo a validade por expiração apenas).
+ */
+export function isTrustedDeviceValid(payload, opts) {
+    const now = opts.now ?? Date.now();
+    if (!payload || typeof payload !== 'object')
+        return false;
+    const p = payload;
+    if (typeof p.a !== 'string' || typeof p.iat !== 'number' || typeof p.exp !== 'number') {
+        return false;
+    }
+    if (p.a !== opts.accountId)
+        return false;
+    if (p.exp <= now)
+        return false;
+    // Re-enrollment do MFA revoga cookies emitidos antes dele.
+    if (typeof opts.mfaEnabledAt === 'number' && p.iat < opts.mfaEnabledAt)
+        return false;
+    return true;
+}

package/build/src/host/validators.d.ts

@@ -69,3 +69,38 @@ export declare const changeEmailValidator: import("@vinejs/vine").VineValidator<
     newEmail: string;
     currentPassword: string;
 }>, Record<string, any> | undefined>;
+/**
+ * Edição de perfil no console de conta: nome e avatarUrl, ambos opcionais.
+ * Campos vazios são normalizados para string vazia (limpa o valor).
+ */
+export declare const updateProfileValidator: import("@vinejs/vine").VineValidator<import("@vinejs/vine").VineObject<{
+    name: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+    avatarUrl: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+}, {
+    name?: string | null | undefined;
+    avatarUrl?: string | null | undefined;
+}, {
+    name?: string | undefined;
+    avatarUrl?: string | undefined;
+}, {
+    name?: string | undefined;
+    avatarUrl?: string | undefined;
+}>, Record<string, any> | undefined>;
+/** Criação de usuário no console admin (email obrigatório; nome/senha opcionais). */
+export declare const adminCreateUserValidator: import("@vinejs/vine").VineValidator<import("@vinejs/vine").VineObject<{
+    email: import("@vinejs/vine").VineString;
+    name: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+    password: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+}, {
+    password?: string | null | undefined;
+    name?: string | null | undefined;
+    email: string;
+}, {
+    password?: string | undefined;
+    name?: string | undefined;
+    email: string;
+}, {
+    password?: string | undefined;
+    name?: string | undefined;
+    email: string;
+}>, Record<string, any> | undefined>;

package/build/src/host/validators.js

@@ -25,3 +25,17 @@ export const changeEmailValidator = vine.compile(vine.object({
     currentPassword: vine.string().minLength(1),
     newEmail: vine.string().trim().email().normalizeEmail(),
 }));
+/**
+ * Edição de perfil no console de conta: nome e avatarUrl, ambos opcionais.
+ * Campos vazios são normalizados para string vazia (limpa o valor).
+ */
+export const updateProfileValidator = vine.compile(vine.object({
+    name: vine.string().trim().maxLength(255).optional(),
+    avatarUrl: vine.string().trim().url().maxLength(2048).optional(),
+}));
+/** Criação de usuário no console admin (email obrigatório; nome/senha opcionais). */
+export const adminCreateUserValidator = vine.compile(vine.object({
+    email: vine.string().trim().email().normalizeEmail(),
+    name: vine.string().trim().maxLength(255).optional(),
+    password: vine.string().minLength(8).maxLength(255).optional(),
+}));