@luanpdd/kit-mcp 1.19.0 → 1.21.0

package/kit/skills/rbac-permissions-matrix-supabase/SKILL.md

@@ -0,0 +1,301 @@
+---
+name: rbac-permissions-matrix-supabase
+description: Use ao modelar RBAC granular em Supabase B2B — permission strings resource:action, matrix N:M roles ↔ permissions, regra "user só atribui roles ≤ ao próprio", 3 roles built-in (owner/admin/member) + custom permitidos.
+---
+
+# RBAC Permissions Matrix — Supabase B2B Multi-Tenant
+
+## Quando usar
+
+LLM carrega esta skill ao desenhar autorização granular em B2B SaaS multi-tenant. Trigger phrases:
+
+- "RBAC granular", "permission matrix"
+- "permission string resource:action", "leads:create", "members:invite"
+- "custom roles", "role escalation rule"
+- "owner admin member built-in"
+- "role permissions table"
+
+## Regras absolutas
+
+**REGRA #1 (permission string format):** Permissions são strings `<resource>:<action>` em snake_case (ex: `leads:create`, `members:invite`, `org_settings:update`). Padrão convergente 2026 (Stripe, Linear, Auth0).
+
+**REGRA #2 (3 roles built-in mínimo):** Toda org tem 3 roles built-in com `is_built_in = true`:
+- `owner` — full control (criação org, billing, transfer ownership, delete org)
+- `admin` — manage members, settings, all data
+- `member` — operações standard (CRUD nos recursos da org)
+
+**REGRA #3 (role escalation rule):** Usuário só pode **criar/atribuir roles ≤ ao próprio role**. Member não pode criar admin. Admin não pode criar owner. Owner pode tudo. Enforced via policy + frontend gate.
+
+**REGRA #4 (custom roles permitidos):** Custom roles via `is_built_in = false` na mesma tabela `roles`. Org-scoped (não globais). Built-in não podem ser deletados (constraint).
+
+**REGRA #5 (NUNCA permission string em frontend hard-coded para enforce):** Permission gate React (skill [`permission-gate-react-pattern`](../permission-gate-react-pattern/SKILL.md)) é UX apenas. Server-side enforcement obrigatório via RLS + `private.has_permission`.
+
+## Patterns canônicos
+
+### Permission catalog — eventos canônicos
+
+```sql
+-- Catálogo global (compartilhado entre orgs)
+insert into public.permissions (action, resource, description) values
+  -- Members
+  ('invite',  'members',      'Convidar novos membros via email'),
+  ('remove',  'members',      'Remover membros existentes'),
+  ('update',  'members',      'Atualizar role/status de membros'),
+  ('list',    'members',      'Listar membros da org'),
+
+  -- Org settings
+  ('update',  'org_settings', 'Atualizar configurações gerais da org'),
+  ('update',  'org_billing',  'Acessar/alterar billing (Stripe)'),
+
+  -- Departments
+  ('create',  'departments',  'Criar departamentos'),
+  ('update',  'departments',  'Atualizar departamentos'),
+  ('delete',  'departments',  'Deletar departamentos'),
+
+  -- Roles + Permissions
+  ('create',  'roles',        'Criar custom roles'),
+  ('update',  'roles',        'Atualizar role permissions'),
+  ('delete',  'roles',        'Deletar custom roles (built-in protegidos)'),
+
+  -- Domain example: leads (CRM)
+  ('create',  'leads',        'Criar leads'),
+  ('update',  'leads',        'Atualizar leads'),
+  ('delete',  'leads',        'Deletar leads'),
+  ('export',  'leads',        'Exportar leads (CSV/JSON)'),
+
+  -- Audit
+  ('view',    'audit_logs',   'Ver audit logs'),
+  ('export',  'audit_logs',   'Exportar audit logs'),
+
+  -- LGPD
+  ('process', 'dsr_requests', 'Processar Data Subject Requests'),
+
+on conflict (action, resource) do nothing;
+```
+
+### 3 roles built-in com permissions default
+
+```sql
+-- Para cada nova org (idealmente em RPC create_organization), criar built-in roles
+-- com permissions atribuídas.
+
+-- OWNER — todas permissions
+insert into public.role_permissions (role_id, permission_id)
+select
+  r.id,
+  p.id
+from public.roles r
+cross join public.permissions p
+where r.org_id = '<org_id>'
+  and r.name = 'owner';
+
+-- ADMIN — tudo exceto org_billing + delete org
+insert into public.role_permissions (role_id, permission_id)
+select
+  r.id,
+  p.id
+from public.roles r
+cross join public.permissions p
+where r.org_id = '<org_id>'
+  and r.name = 'admin'
+  and not (p.action = 'update' and p.resource = 'org_billing');
+
+-- MEMBER — operações CRUD em domínio (sem members management)
+insert into public.role_permissions (role_id, permission_id)
+select
+  r.id,
+  p.id
+from public.roles r
+cross join public.permissions p
+where r.org_id = '<org_id>'
+  and r.name = 'member'
+  and p.resource in ('leads', 'departments')
+  and p.action in ('create', 'update', 'list');
+```
+
+### Role escalation rule — enforcement via RPC + RLS
+
+```sql
+-- Função que retorna o "rank" de uma role (owner=3, admin=2, member=1, custom=0)
+create or replace function private.role_rank(p_role_name text)
+returns int
+language sql
+stable
+security invoker
+set search_path = ''
+as $$
+  select case p_role_name
+    when 'owner' then 3
+    when 'admin' then 2
+    when 'member' then 1
+    else 0  -- custom roles têm rank 0 (não comparáveis)
+  end;
+$$;
+
+-- RPC que assign role a um membro — só permite role ≤ ao próprio
+create or replace function public.assign_role(
+  p_org_id uuid,
+  p_target_user_id uuid,
+  p_role_id uuid
+)
+returns void
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+declare
+  caller_role_name text;
+  target_role_name text;
+begin
+  -- 1. Buscar role do caller na org
+  select r.name into caller_role_name
+  from public.organization_members om
+  join public.roles r on r.id = om.role_id
+  where om.org_id = p_org_id
+    and om.user_id = (select auth.uid())
+    and om.status = 'active';
+
+  if caller_role_name is null then
+    raise exception 'caller is not member of org';
+  end if;
+
+  -- 2. Buscar role alvo
+  select r.name into target_role_name
+  from public.roles r
+  where r.id = p_role_id and r.org_id = p_org_id;
+
+  if target_role_name is null then
+    raise exception 'role does not exist in org';
+  end if;
+
+  -- 3. REGRA #3: caller role rank >= target role rank
+  if private.role_rank(caller_role_name) < private.role_rank(target_role_name) then
+    raise exception
+      'role escalation forbidden: caller is %, cannot assign %',
+      caller_role_name, target_role_name;
+  end if;
+
+  -- 4. Assign
+  update public.organization_members
+  set role_id = p_role_id
+  where org_id = p_org_id and user_id = p_target_user_id;
+end;
+$$;
+
+grant execute on function public.assign_role(uuid, uuid, uuid) to authenticated;
+```
+
+### Frontend — listar roles que user pode atribuir
+
+```typescript
+// Buscar roles que current user pode atribuir (rank ≤ próprio)
+const { data: assignableRoles } = await supabase
+  .from('roles')
+  .select('id, name, description')
+  .eq('org_id', orgId)
+  // RPC retorna apenas roles que caller pode atribuir
+  .rpc('list_assignable_roles', { p_org_id: orgId })
+```
+
+### RLS policy usando `private.has_permission`
+
+```sql
+-- Tabela leads — INSERT requer permission leads:create
+create policy "leads_insert_with_permission"
+  on public.leads
+  for insert
+  to authenticated
+  with check (
+    private.has_permission('create', 'leads', org_id)
+  );
+
+-- Tabela members management — UPDATE role requer permission members:update
+create policy "members_update_role_with_permission"
+  on public.organization_members
+  for update
+  to authenticated
+  using (
+    private.has_permission('update', 'members', org_id)
+  )
+  with check (
+    private.has_permission('update', 'members', org_id)
+  );
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: Permission string sem padrão
+
+**Errado:**
+```sql
+-- Mistura formats
+'canCreateLeads', 'leads.create', 'CREATE_LEAD', 'leads:write'
+```
+
+**Por quê:** inconsistência confunde devs (qual é a forma certa?), quebra autocomplete, dificulta migração.
+
+**Certo:** sempre `<resource>:<action>` em snake_case (REGRA #1). Pode usar enum em TypeScript:
+```typescript
+type Permission = `${Resource}:${Action}`
+```
+
+### Anti-pattern 2: Hard-coded role check em vez de permission
+
+**Errado:**
+```typescript
+// Permission gate frontend
+{ user.role === 'admin' && <Button>Convidar</Button> }
+```
+
+**Por quê:** custom roles quebram (custom role com permission `members:invite` não passa no check). Acopla UI a roles built-in.
+
+**Certo:**
+```typescript
+{ usePermission('invite', 'members') && <Button>Convidar</Button> }
+```
+
+E server-side: RLS com `private.has_permission`.
+
+### Anti-pattern 3: Built-in role pode ser deletada
+
+**Errado:**
+```sql
+-- Sem proteção
+delete from public.roles where name = 'owner' and org_id = '...';
+-- Org fica sem owner, ninguém consegue fazer nada
+```
+
+**Por quê:** org sem owner é unrecoverable sem service_role intervention. Compromete recovery.
+
+**Certo:** policy DELETE em `roles` que rejeita built-in:
+```sql
+create policy "roles_delete_custom_only"
+  on public.roles
+  for delete
+  to authenticated
+  using (
+    not is_built_in
+    and private.has_permission('delete', 'roles', org_id)
+  );
+```
+
+### Anti-pattern 4: Frontend permission gate sem server-side enforce
+
+**Errado:**
+```typescript
+// Esconder botão UI = "segurança"
+{ usePermission('delete', 'leads') && <DeleteButton /> }
+// Mas API endpoint /leads/{id} aceita DELETE sem checar permission
+```
+
+**Por quê:** atacante chama API direto via curl — ignora gate frontend. Permission gate React é **UX**, não segurança.
+
+**Certo:** REGRA #5. Server-side via RLS + `private.has_permission` é enforcement real.
+
+## Ver também
+
+- [multi-tenant-rls-hierarchy](../multi-tenant-rls-hierarchy/SKILL.md) — `private.has_permission` é a função canônica usada em policies
+- [b2b-saas-architecture](../b2b-saas-architecture/SKILL.md) — schema das tabelas `roles`, `permissions`, `role_permissions`
+- [permission-gate-react-pattern](../permission-gate-react-pattern/SKILL.md) — Phase 115, permission gate UX em React
+- [super-admin-platform-pattern](../super-admin-platform-pattern/SKILL.md) — Phase 111, super_admin bypassa RBAC normal
+- [_shared-multi-tenant/glossary.md](../_shared-multi-tenant/glossary.md) — termos `RBAC`, `permission matrix`, `role escalation rule`

package/kit/skills/super-admin-platform-pattern/SKILL.md

@@ -0,0 +1,322 @@
+---
+name: super-admin-platform-pattern
+description: Use ao implementar plataforma super-admin em B2B SaaS multi-tenant — cross-tenant view sobre todas orgs, impersonation com TTL 30min + reason obrigatório + banner visual, super_admin:bool em app_metadata via service_role apenas, audit obrigatório (BLOCKER) em toda ação super-admin.
+---
+
+# Super-Admin Platform Pattern — B2B SaaS Multi-Tenant
+
+## Quando usar
+
+LLM carrega esta skill ao implementar painel de super-admin (você gerenciando todos tenants). Trigger phrases:
+
+- "super admin platform", "platform admin"
+- "cross-tenant view", "list all orgs"
+- "impersonation user", "support takeover"
+- "super_admin app_metadata"
+- "GitHub Enterprise impersonation pattern"
+
+## Regras absolutas
+
+**REGRA #1 (audit obrigatório — BLOCKER):** Toda ação super-admin **DEVE** emitir evento `super_admin_action` em `audit_logs`. Sem audit log = ABORT no agent (REGRA do `super-admin-implementer`). Compliance LGPD exige rastreabilidade.
+
+**REGRA #2 (impersonation TTL 30min):** Sessão de impersonation expira em **30 minutos** automaticamente. Após TTL, sessão revogada (`signOut` automático), super-admin precisa re-iniciar impersonation. Previne sessão zombie.
+
+**REGRA #3 (reason obrigatório):** Impersonation requer campo `reason` text não-vazio (mín 10 chars). Registrado em audit_log para investigação posterior. Sem reason = recusar ação.
+
+**REGRA #4 (banner visual obrigatório):** Quando super-admin está impersonando, UI mostra **banner persistente** (top da viewport) com texto "Você está vendo como <user.email> em <org.name>. Clique para sair." Cor de aviso (amarelo/vermelho), z-index máximo, não fechável.
+
+**REGRA #5 (super_admin via service_role apenas):** `app_metadata.super_admin = true` é setado **EXCLUSIVAMENTE** via `auth.admin.updateUserById()` com `SUPABASE_SERVICE_ROLE_KEY`. Cliente NUNCA consegue mutar. Endpoint de promoção isolado em Edge Function `verify_jwt: false` ou backend admin separado.
+
+**REGRA #6 (delete org requer dupla confirmação):** Deletar uma `organizations` (cascade dropping membros, leads, audit_logs) requer:
+1. super-admin clica botão delete
+2. Modal pede org.slug exato + reason text + checkbox "Entendo que isso é irreversível"
+3. RPC `super_admin_delete_org(p_org_id, p_typed_slug, p_reason)` valida + executa + audit
+
+## Patterns canônicos
+
+### Cross-tenant view — RLS via PERMISSIVE
+
+```sql
+-- Policy permissive em organizations: super_admin vê todas
+create policy "organizations_super_admin_view"
+  on public.organizations
+  as permissive
+  for select
+  to authenticated
+  using (private.is_super_admin());
+
+-- Policy normal (já deve existir): owner/admin vê apenas a própria
+create policy "organizations_select_member"
+  on public.organizations
+  for select
+  to authenticated
+  using (private.is_member_of(id));
+
+-- Mesma lógica para todas tabelas críticas: leads, organization_members, audit_logs, etc.
+-- Padronizar via agent multi-tenant-rls-writer (Phase 108) com super_admin_bypass=true
+```
+
+### Frontend — listar todos tenants (super-admin only)
+
+```typescript
+// SuperAdminDashboard.tsx
+import { createClient } from '@/lib/supabase/client'
+
+export function SuperAdminDashboard() {
+  const supabase = createClient()
+  const [orgs, setOrgs] = useState<Org[]>([])
+
+  useEffect(() => {
+    // RLS retorna TODAS orgs porque user é super_admin
+    supabase.from('organizations')
+      .select('id, name, slug, plan, status, created_at, organization_members(count)')
+      .order('created_at', { ascending: false })
+      .then(({ data }) => setOrgs(data || []))
+  }, [])
+
+  return (
+    <Table>
+      {orgs.map(o => (
+        <Row key={o.id}>
+          <Cell>{o.name}</Cell>
+          <Cell>{o.slug}</Cell>
+          <Cell>{o.plan}</Cell>
+          <Cell>{o.organization_members[0].count}</Cell>
+          <Cell>
+            <Button onClick={() => startImpersonation(o.id)}>Impersonate</Button>
+          </Cell>
+        </Row>
+      ))}
+    </Table>
+  )
+}
+```
+
+### Impersonation — Edge Function com TTL 30min
+
+```typescript
+// supabase/functions/super-admin-impersonate/index.ts
+import { createClient } from 'jsr:@supabase/supabase-js@2'
+
+Deno.serve(async (req) => {
+  const auth = req.headers.get('Authorization')
+  if (!auth) return new Response('unauthorized', { status: 401 })
+
+  // Validar caller é super_admin via JWT app_metadata
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_ANON_KEY')!,
+    { global: { headers: { Authorization: auth } } }
+  )
+
+  const { data: { user } } = await supabase.auth.getUser()
+  if (!user || !user.app_metadata.super_admin) {
+    return new Response('forbidden', { status: 403 })
+  }
+
+  const { target_user_id, target_org_id, reason } = await req.json()
+
+  // REGRA #3: reason obrigatório (min 10 chars)
+  if (!reason || reason.trim().length < 10) {
+    return new Response(JSON.stringify({ error: 'reason_required_min_10_chars' }), { status: 400 })
+  }
+
+  // Audit ANTES de criar sessão (se falhar audit, falha a ação)
+  await supabase.rpc('audit_log', {
+    p_event_type: 'super_admin_action',
+    p_tenant_id: target_org_id,
+    p_target_id: target_user_id,
+    p_target_type: 'user',
+    p_payload: {
+      action: 'impersonation_started',
+      reason,
+      session_ttl_minutes: 30
+    }
+  })
+
+  // Criar sessão impersonation via service_role
+  const admin = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!  // service role
+  )
+
+  const { data: targetUser } = await admin.auth.admin.getUserById(target_user_id)
+  if (!targetUser.user) return new Response('target_not_found', { status: 404 })
+
+  // Gerar magic link com expiry curto (30min)
+  const { data: magicLink } = await admin.auth.admin.generateLink({
+    type: 'magiclink',
+    email: targetUser.user.email!,
+    options: {
+      redirectTo: `${Deno.env.get('APP_URL')}/?impersonating=1&original_admin_id=${user.id}`
+    }
+  })
+
+  // Cookie marker no client side (banner visual lê isso)
+  return new Response(JSON.stringify({
+    magic_link: magicLink.properties.action_link,
+    expires_at: new Date(Date.now() + 30 * 60 * 1000).toISOString()
+  }), {
+    headers: { 'Content-Type': 'application/json' }
+  })
+})
+```
+
+### Banner visual de impersonation (React)
+
+```typescript
+// app/components/ImpersonationBanner.tsx
+'use client'
+
+export function ImpersonationBanner() {
+  const searchParams = useSearchParams()
+  const isImpersonating = searchParams.get('impersonating') === '1'
+  const adminId = searchParams.get('original_admin_id')
+
+  if (!isImpersonating) return null
+
+  const stopImpersonation = async () => {
+    await supabase.auth.signOut()
+    window.location.href = `/super-admin?stopped_impersonation=1&original_admin_id=${adminId}`
+  }
+
+  return (
+    <div className="fixed top-0 left-0 right-0 z-[9999] bg-yellow-400 text-black px-4 py-2 flex items-center justify-between">
+      <span>
+        ⚠ Você está vendo como outro usuário (super-admin impersonation).
+        Sessão expira em <Countdown to={expiresAt} />.
+      </span>
+      <Button variant="destructive" size="sm" onClick={stopImpersonation}>
+        Parar impersonation
+      </Button>
+    </div>
+  )
+}
+```
+
+### Promover usuário a super_admin (backend admin script)
+
+```typescript
+// scripts/promote-super-admin.ts (NÃO Edge Function — script administrativo)
+// Executado manualmente OU via CLI admin tool (NÃO frontend)
+import { createClient } from '@supabase/supabase-js'
+
+const admin = createClient(
+  process.env.SUPABASE_URL!,
+  process.env.SUPABASE_SERVICE_ROLE_KEY!  // SECRET — NUNCA em frontend
+)
+
+await admin.auth.admin.updateUserById(userId, {
+  app_metadata: { super_admin: true }
+})
+```
+
+### RPC delete org com dupla confirmação
+
+```sql
+create or replace function public.super_admin_delete_org(
+  p_org_id uuid,
+  p_typed_slug text,
+  p_reason text
+)
+returns void
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+declare
+  v_org_slug text;
+begin
+  -- Validar caller é super_admin
+  if not private.is_super_admin() then
+    raise exception 'forbidden_super_admin_only';
+  end if;
+
+  -- Validar reason
+  if length(trim(p_reason)) < 10 then
+    raise exception 'reason_required_min_10_chars';
+  end if;
+
+  -- Validar typed_slug bate com slug real (REGRA #6 dupla confirmação)
+  select slug into v_org_slug from public.organizations where id = p_org_id;
+  if v_org_slug is null then raise exception 'org_not_found'; end if;
+  if v_org_slug != p_typed_slug then
+    raise exception 'slug_mismatch_confirmation_failed';
+  end if;
+
+  -- Audit ANTES (preserva histórico)
+  perform private.audit_log(
+    'super_admin_action',
+    p_org_id,
+    null, 'org', null,
+    jsonb_build_object('action', 'delete_org', 'slug', v_org_slug, 'reason', p_reason)
+  );
+
+  -- Soft delete preferred (status = 'archived'), hard delete se realmente necessário
+  update public.organizations set status = 'archived' where id = p_org_id;
+
+  -- Hard delete (se exigido — descomenta abaixo)
+  -- delete from public.organizations where id = p_org_id;
+  -- (cascade dropa: organization_members, departments, leads, etc.; audit_logs preservado por design)
+end;
+$$;
+
+grant execute on function public.super_admin_delete_org(uuid, text, text) to authenticated;
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: super_admin sem audit log (BLOCKER)
+
+**Errado:**
+```sql
+-- super_admin policy permite tudo, sem trigger ou helper que registra
+```
+
+**Por quê:** ação super-admin sem rastro = você (operador da plataforma) não consegue investigar incident "quem deletou todos os leads da org X em 03/04?". Compliance LGPD violation.
+
+**Certo:** REGRA #1 — toda RPC super-admin chama `private.audit_log` ANTES de operar. Trigger AFTER em tabelas críticas dispara automaticamente para super_admin (gerado pelo `multi-tenant-rls-writer` com `audit_super_admin=true`).
+
+### Anti-pattern 2: Impersonation sem TTL
+
+**Errado:**
+```typescript
+// Sessão impersonation persiste indefinidamente
+await supabase.auth.signInWithPassword({ email: targetUser.email, password: '...' })
+```
+
+**Por quê:** super-admin esquece, sessão fica ativa por dias, usuário target cuja "como" foi assumida nem sabe. Ataque interno trivial.
+
+**Certo:** REGRA #2 — magic link com expiry 30min, frontend countdown + auto-logout.
+
+### Anti-pattern 3: super_admin via user_metadata
+
+**Errado:**
+```sql
+-- Policy lê super_admin de user_metadata
+using ((auth.jwt()->'user_metadata'->>'super_admin')::boolean = true)
+```
+
+**Por quê:** `user_metadata` é editável pelo client via `supabase.auth.updateUser({ data: { super_admin: true } })`. Privilege escalation imediato — qualquer usuário se torna super-admin.
+
+**Certo:** REGRA #5 — `app_metadata.super_admin` (set apenas via service_role).
+
+### Anti-pattern 4: Delete org sem confirmação dupla
+
+**Errado:**
+```typescript
+<Button onClick={() => deleteOrg(orgId)}>Delete</Button>
+```
+
+**Por quê:** click acidental destrói org com 100k records. Cascade delete = irreversible.
+
+**Certo:** REGRA #6 — modal exige typed slug + reason + checkbox + RPC valida tudo server-side. Soft delete preferred.
+
+## Ver também
+
+- [audit-log-multi-tenant](../audit-log-multi-tenant/SKILL.md) — Phase 109, audit_logs + event `super_admin_action` (REGRA #1)
+- [multi-tenant-rls-hierarchy](../multi-tenant-rls-hierarchy/SKILL.md) — `private.is_super_admin` + PERMISSIVE policy pattern
+- [b2b-saas-architecture](../b2b-saas-architecture/SKILL.md) — JWT minimal `super_admin: bool` em app_metadata (REGRA #5)
+- [supabase-edge-fn-writer](../../agents/supabase-edge-fn-writer.md) — agent invocado para Edge Function impersonation
+- [_shared-multi-tenant/glossary.md](../_shared-multi-tenant/glossary.md) — termos `super_admin`, `impersonation`, `cross-tenant view`, `platform admin`
+- [GitHub Enterprise — Impersonation](https://docs.github.com/en/enterprise-server@latest/admin/user-management/managing-users-in-your-enterprise/impersonating-a-user) — referência external pattern