@luanpdd/kit-mcp 1.20.0 → 1.21.0

package/kit/skills/super-admin-platform-pattern/SKILL.md

@@ -0,0 +1,322 @@
+---
+name: super-admin-platform-pattern
+description: Use ao implementar plataforma super-admin em B2B SaaS multi-tenant — cross-tenant view sobre todas orgs, impersonation com TTL 30min + reason obrigatório + banner visual, super_admin:bool em app_metadata via service_role apenas, audit obrigatório (BLOCKER) em toda ação super-admin.
+---
+
+# Super-Admin Platform Pattern — B2B SaaS Multi-Tenant
+
+## Quando usar
+
+LLM carrega esta skill ao implementar painel de super-admin (você gerenciando todos tenants). Trigger phrases:
+
+- "super admin platform", "platform admin"
+- "cross-tenant view", "list all orgs"
+- "impersonation user", "support takeover"
+- "super_admin app_metadata"
+- "GitHub Enterprise impersonation pattern"
+
+## Regras absolutas
+
+**REGRA #1 (audit obrigatório — BLOCKER):** Toda ação super-admin **DEVE** emitir evento `super_admin_action` em `audit_logs`. Sem audit log = ABORT no agent (REGRA do `super-admin-implementer`). Compliance LGPD exige rastreabilidade.
+
+**REGRA #2 (impersonation TTL 30min):** Sessão de impersonation expira em **30 minutos** automaticamente. Após TTL, sessão revogada (`signOut` automático), super-admin precisa re-iniciar impersonation. Previne sessão zombie.
+
+**REGRA #3 (reason obrigatório):** Impersonation requer campo `reason` text não-vazio (mín 10 chars). Registrado em audit_log para investigação posterior. Sem reason = recusar ação.
+
+**REGRA #4 (banner visual obrigatório):** Quando super-admin está impersonando, UI mostra **banner persistente** (top da viewport) com texto "Você está vendo como <user.email> em <org.name>. Clique para sair." Cor de aviso (amarelo/vermelho), z-index máximo, não fechável.
+
+**REGRA #5 (super_admin via service_role apenas):** `app_metadata.super_admin = true` é setado **EXCLUSIVAMENTE** via `auth.admin.updateUserById()` com `SUPABASE_SERVICE_ROLE_KEY`. Cliente NUNCA consegue mutar. Endpoint de promoção isolado em Edge Function `verify_jwt: false` ou backend admin separado.
+
+**REGRA #6 (delete org requer dupla confirmação):** Deletar uma `organizations` (cascade dropping membros, leads, audit_logs) requer:
+1. super-admin clica botão delete
+2. Modal pede org.slug exato + reason text + checkbox "Entendo que isso é irreversível"
+3. RPC `super_admin_delete_org(p_org_id, p_typed_slug, p_reason)` valida + executa + audit
+
+## Patterns canônicos
+
+### Cross-tenant view — RLS via PERMISSIVE
+
+```sql
+-- Policy permissive em organizations: super_admin vê todas
+create policy "organizations_super_admin_view"
+  on public.organizations
+  as permissive
+  for select
+  to authenticated
+  using (private.is_super_admin());
+
+-- Policy normal (já deve existir): owner/admin vê apenas a própria
+create policy "organizations_select_member"
+  on public.organizations
+  for select
+  to authenticated
+  using (private.is_member_of(id));
+
+-- Mesma lógica para todas tabelas críticas: leads, organization_members, audit_logs, etc.
+-- Padronizar via agent multi-tenant-rls-writer (Phase 108) com super_admin_bypass=true
+```
+
+### Frontend — listar todos tenants (super-admin only)
+
+```typescript
+// SuperAdminDashboard.tsx
+import { createClient } from '@/lib/supabase/client'
+
+export function SuperAdminDashboard() {
+  const supabase = createClient()
+  const [orgs, setOrgs] = useState<Org[]>([])
+
+  useEffect(() => {
+    // RLS retorna TODAS orgs porque user é super_admin
+    supabase.from('organizations')
+      .select('id, name, slug, plan, status, created_at, organization_members(count)')
+      .order('created_at', { ascending: false })
+      .then(({ data }) => setOrgs(data || []))
+  }, [])
+
+  return (
+    <Table>
+      {orgs.map(o => (
+        <Row key={o.id}>
+          <Cell>{o.name}</Cell>
+          <Cell>{o.slug}</Cell>
+          <Cell>{o.plan}</Cell>
+          <Cell>{o.organization_members[0].count}</Cell>
+          <Cell>
+            <Button onClick={() => startImpersonation(o.id)}>Impersonate</Button>
+          </Cell>
+        </Row>
+      ))}
+    </Table>
+  )
+}
+```
+
+### Impersonation — Edge Function com TTL 30min
+
+```typescript
+// supabase/functions/super-admin-impersonate/index.ts
+import { createClient } from 'jsr:@supabase/supabase-js@2'
+
+Deno.serve(async (req) => {
+  const auth = req.headers.get('Authorization')
+  if (!auth) return new Response('unauthorized', { status: 401 })
+
+  // Validar caller é super_admin via JWT app_metadata
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_ANON_KEY')!,
+    { global: { headers: { Authorization: auth } } }
+  )
+
+  const { data: { user } } = await supabase.auth.getUser()
+  if (!user || !user.app_metadata.super_admin) {
+    return new Response('forbidden', { status: 403 })
+  }
+
+  const { target_user_id, target_org_id, reason } = await req.json()
+
+  // REGRA #3: reason obrigatório (min 10 chars)
+  if (!reason || reason.trim().length < 10) {
+    return new Response(JSON.stringify({ error: 'reason_required_min_10_chars' }), { status: 400 })
+  }
+
+  // Audit ANTES de criar sessão (se falhar audit, falha a ação)
+  await supabase.rpc('audit_log', {
+    p_event_type: 'super_admin_action',
+    p_tenant_id: target_org_id,
+    p_target_id: target_user_id,
+    p_target_type: 'user',
+    p_payload: {
+      action: 'impersonation_started',
+      reason,
+      session_ttl_minutes: 30
+    }
+  })
+
+  // Criar sessão impersonation via service_role
+  const admin = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!  // service role
+  )
+
+  const { data: targetUser } = await admin.auth.admin.getUserById(target_user_id)
+  if (!targetUser.user) return new Response('target_not_found', { status: 404 })
+
+  // Gerar magic link com expiry curto (30min)
+  const { data: magicLink } = await admin.auth.admin.generateLink({
+    type: 'magiclink',
+    email: targetUser.user.email!,
+    options: {
+      redirectTo: `${Deno.env.get('APP_URL')}/?impersonating=1&original_admin_id=${user.id}`
+    }
+  })
+
+  // Cookie marker no client side (banner visual lê isso)
+  return new Response(JSON.stringify({
+    magic_link: magicLink.properties.action_link,
+    expires_at: new Date(Date.now() + 30 * 60 * 1000).toISOString()
+  }), {
+    headers: { 'Content-Type': 'application/json' }
+  })
+})
+```
+
+### Banner visual de impersonation (React)
+
+```typescript
+// app/components/ImpersonationBanner.tsx
+'use client'
+
+export function ImpersonationBanner() {
+  const searchParams = useSearchParams()
+  const isImpersonating = searchParams.get('impersonating') === '1'
+  const adminId = searchParams.get('original_admin_id')
+
+  if (!isImpersonating) return null
+
+  const stopImpersonation = async () => {
+    await supabase.auth.signOut()
+    window.location.href = `/super-admin?stopped_impersonation=1&original_admin_id=${adminId}`
+  }
+
+  return (
+    <div className="fixed top-0 left-0 right-0 z-[9999] bg-yellow-400 text-black px-4 py-2 flex items-center justify-between">
+      <span>
+        ⚠ Você está vendo como outro usuário (super-admin impersonation).
+        Sessão expira em <Countdown to={expiresAt} />.
+      </span>
+      <Button variant="destructive" size="sm" onClick={stopImpersonation}>
+        Parar impersonation
+      </Button>
+    </div>
+  )
+}
+```
+
+### Promover usuário a super_admin (backend admin script)
+
+```typescript
+// scripts/promote-super-admin.ts (NÃO Edge Function — script administrativo)
+// Executado manualmente OU via CLI admin tool (NÃO frontend)
+import { createClient } from '@supabase/supabase-js'
+
+const admin = createClient(
+  process.env.SUPABASE_URL!,
+  process.env.SUPABASE_SERVICE_ROLE_KEY!  // SECRET — NUNCA em frontend
+)
+
+await admin.auth.admin.updateUserById(userId, {
+  app_metadata: { super_admin: true }
+})
+```
+
+### RPC delete org com dupla confirmação
+
+```sql
+create or replace function public.super_admin_delete_org(
+  p_org_id uuid,
+  p_typed_slug text,
+  p_reason text
+)
+returns void
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+declare
+  v_org_slug text;
+begin
+  -- Validar caller é super_admin
+  if not private.is_super_admin() then
+    raise exception 'forbidden_super_admin_only';
+  end if;
+
+  -- Validar reason
+  if length(trim(p_reason)) < 10 then
+    raise exception 'reason_required_min_10_chars';
+  end if;
+
+  -- Validar typed_slug bate com slug real (REGRA #6 dupla confirmação)
+  select slug into v_org_slug from public.organizations where id = p_org_id;
+  if v_org_slug is null then raise exception 'org_not_found'; end if;
+  if v_org_slug != p_typed_slug then
+    raise exception 'slug_mismatch_confirmation_failed';
+  end if;
+
+  -- Audit ANTES (preserva histórico)
+  perform private.audit_log(
+    'super_admin_action',
+    p_org_id,
+    null, 'org', null,
+    jsonb_build_object('action', 'delete_org', 'slug', v_org_slug, 'reason', p_reason)
+  );
+
+  -- Soft delete preferred (status = 'archived'), hard delete se realmente necessário
+  update public.organizations set status = 'archived' where id = p_org_id;
+
+  -- Hard delete (se exigido — descomenta abaixo)
+  -- delete from public.organizations where id = p_org_id;
+  -- (cascade dropa: organization_members, departments, leads, etc.; audit_logs preservado por design)
+end;
+$$;
+
+grant execute on function public.super_admin_delete_org(uuid, text, text) to authenticated;
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: super_admin sem audit log (BLOCKER)
+
+**Errado:**
+```sql
+-- super_admin policy permite tudo, sem trigger ou helper que registra
+```
+
+**Por quê:** ação super-admin sem rastro = você (operador da plataforma) não consegue investigar incident "quem deletou todos os leads da org X em 03/04?". Compliance LGPD violation.
+
+**Certo:** REGRA #1 — toda RPC super-admin chama `private.audit_log` ANTES de operar. Trigger AFTER em tabelas críticas dispara automaticamente para super_admin (gerado pelo `multi-tenant-rls-writer` com `audit_super_admin=true`).
+
+### Anti-pattern 2: Impersonation sem TTL
+
+**Errado:**
+```typescript
+// Sessão impersonation persiste indefinidamente
+await supabase.auth.signInWithPassword({ email: targetUser.email, password: '...' })
+```
+
+**Por quê:** super-admin esquece, sessão fica ativa por dias, usuário target cuja "como" foi assumida nem sabe. Ataque interno trivial.
+
+**Certo:** REGRA #2 — magic link com expiry 30min, frontend countdown + auto-logout.
+
+### Anti-pattern 3: super_admin via user_metadata
+
+**Errado:**
+```sql
+-- Policy lê super_admin de user_metadata
+using ((auth.jwt()->'user_metadata'->>'super_admin')::boolean = true)
+```
+
+**Por quê:** `user_metadata` é editável pelo client via `supabase.auth.updateUser({ data: { super_admin: true } })`. Privilege escalation imediato — qualquer usuário se torna super-admin.
+
+**Certo:** REGRA #5 — `app_metadata.super_admin` (set apenas via service_role).
+
+### Anti-pattern 4: Delete org sem confirmação dupla
+
+**Errado:**
+```typescript
+<Button onClick={() => deleteOrg(orgId)}>Delete</Button>
+```
+
+**Por quê:** click acidental destrói org com 100k records. Cascade delete = irreversible.
+
+**Certo:** REGRA #6 — modal exige typed slug + reason + checkbox + RPC valida tudo server-side. Soft delete preferred.
+
+## Ver também
+
+- [audit-log-multi-tenant](../audit-log-multi-tenant/SKILL.md) — Phase 109, audit_logs + event `super_admin_action` (REGRA #1)
+- [multi-tenant-rls-hierarchy](../multi-tenant-rls-hierarchy/SKILL.md) — `private.is_super_admin` + PERMISSIVE policy pattern
+- [b2b-saas-architecture](../b2b-saas-architecture/SKILL.md) — JWT minimal `super_admin: bool` em app_metadata (REGRA #5)
+- [supabase-edge-fn-writer](../../agents/supabase-edge-fn-writer.md) — agent invocado para Edge Function impersonation
+- [_shared-multi-tenant/glossary.md](../_shared-multi-tenant/glossary.md) — termos `super_admin`, `impersonation`, `cross-tenant view`, `platform admin`
+- [GitHub Enterprise — Impersonation](https://docs.github.com/en/enterprise-server@latest/admin/user-management/managing-users-in-your-enterprise/impersonating-a-user) — referência external pattern

package/kit/skills/whatsapp-conversation-state-machine/SKILL.md

@@ -0,0 +1,287 @@
+---
+name: whatsapp-conversation-state-machine
+description: Use ao modelar conversação WhatsApp como state machine xstate v5 + persistência em PG — estados conversation_started → opted_in → engaged → action_taken → closed, persiste estado em conversations table, integra com lead pipeline.
+---
+
+# WhatsApp Conversation State Machine — xstate v5 + Postgres
+
+## Quando usar
+
+LLM carrega esta skill ao modelar fluxo de conversação WhatsApp em B2B (atendimento, vendas, automação). Trigger phrases:
+
+- "WhatsApp conversation state", "fluxo conversa whatsapp"
+- "xstate v5 conversation", "state machine xstate"
+- "conversation persisted Postgres"
+- "conversation handoff bot human"
+- "WhatsApp opt-in opt-out flow"
+
+## Regras absolutas
+
+**REGRA #1 (state persistido em PG, não em memória):** State da conversa **SEMPRE** persistido em `conversations.state` (JSONB). Memória in-process = state perdido em restart de Edge Function ou cold start. Conversa multi-turn quebra.
+
+**REGRA #2 (state machine declarativo via xstate v5):** Use `setup({...}).createMachine({...})` do xstate v5 para definir transições explicitamente. Substitui `if/else` espalhados por regras de transição auditáveis.
+
+**REGRA #3 (transições registradas em audit_log):** Toda transição de state emite evento `custom_conversation_transition` em `audit_logs` com `from_state`, `to_state`, `trigger_message_id`, `org_id`.
+
+**REGRA #4 (timeout para abandono):** Conversa em estado intermediário (`waiting_user_reply`) por > 24h transiciona automaticamente para `abandoned` via `pg_cron`. Reset a partir de nova mensagem do user.
+
+**REGRA #5 (handoff bot→human explícito):** Transition `bot_handling` → `human_handoff` é evento explícito (palavra-chave do user, escalação automática, ou button click). Marca `assigned_to_user_id` no conversation. Bot para de responder.
+
+## Patterns canônicos
+
+### Tabela `conversations`
+
+```sql
+create table public.conversations (
+  id uuid primary key default gen_random_uuid(),
+  org_id uuid not null references public.organizations(id) on delete cascade,
+  contact_phone text not null,
+  contact_name text,
+  state text not null default 'started'
+    check (state in (
+      'started',           -- primeira mensagem inbound recebida
+      'opted_in',          -- user explicitamente opt-in para automação
+      'engaged',           -- user respondeu pelo menos 1×
+      'bot_handling',      -- bot está processando
+      'waiting_user_reply',-- bot enviou pergunta, espera resposta
+      'human_handoff',     -- atendente humano assumiu
+      'action_taken',      -- conversa gerou ação (lead criado, agendamento, etc.)
+      'abandoned',         -- timeout 24h sem resposta
+      'closed'             -- conversa explicitamente encerrada
+    )),
+  state_data jsonb default '{}'::jsonb,  -- xstate context (variables, accumulated data)
+  assigned_to_user_id uuid references auth.users(id) on delete set null,
+  lead_id uuid,  -- FK lazy para leads (criado on action_taken)
+  started_at timestamptz not null default now(),
+  last_message_at timestamptz not null default now(),
+  closed_at timestamptz,
+  unique (org_id, contact_phone, started_at)
+);
+
+create index conversations_org_phone_idx on public.conversations (org_id, contact_phone);
+create index conversations_state_idx on public.conversations (state) where state in ('waiting_user_reply', 'bot_handling');
+create index conversations_assigned_idx on public.conversations (assigned_to_user_id) where assigned_to_user_id is not null;
+```
+
+### State machine em xstate v5 (Edge Function)
+
+```typescript
+// supabase/functions/whatsapp-process/conversation-machine.ts
+import { setup, createActor } from 'jsr:xstate@5'
+
+export const conversationMachine = setup({
+  types: {
+    context: {} as {
+      orgId: string
+      contactPhone: string
+      contactName?: string
+      lastMessageContent?: string
+      collectedFields: Record<string, string>
+    },
+    events: {} as
+      | { type: 'INBOUND_MESSAGE'; content: string }
+      | { type: 'OPT_IN_KEYWORD' }
+      | { type: 'OPT_OUT_KEYWORD' }
+      | { type: 'BOT_REPLIED'; question?: string }
+      | { type: 'USER_REPLIED'; content: string }
+      | { type: 'HUMAN_HANDOFF_REQUESTED'; reason?: string }
+      | { type: 'ACTION_TAKEN'; actionType: string; leadId?: string }
+      | { type: 'TIMEOUT_24H' }
+      | { type: 'CLOSE' }
+  },
+  guards: {
+    isOptInKeyword: ({ event }) => {
+      if (event.type !== 'INBOUND_MESSAGE') return false
+      return /^(sim|aceito|comecar|start|opt-in)$/i.test(event.content.trim())
+    },
+    isOptOutKeyword: ({ event }) => {
+      if (event.type !== 'INBOUND_MESSAGE') return false
+      return /^(nao|sair|stop|opt-out|cancelar)$/i.test(event.content.trim())
+    },
+    isHandoffKeyword: ({ event }) => {
+      if (event.type !== 'INBOUND_MESSAGE') return false
+      return /(atendente|humano|falar com pessoa|human)/i.test(event.content)
+    }
+  }
+}).createMachine({
+  id: 'conversation',
+  initial: 'started',
+  context: ({ input }) => input,
+  states: {
+    started: {
+      on: {
+        INBOUND_MESSAGE: [
+          { guard: 'isOptInKeyword', target: 'opted_in' },
+          { guard: 'isHandoffKeyword', target: 'human_handoff' },
+          { target: 'engaged' }
+        ]
+      }
+    },
+    opted_in: {
+      on: {
+        BOT_REPLIED: { target: 'waiting_user_reply' }
+      }
+    },
+    engaged: {
+      on: {
+        BOT_REPLIED: { target: 'waiting_user_reply' },
+        HUMAN_HANDOFF_REQUESTED: { target: 'human_handoff' }
+      }
+    },
+    waiting_user_reply: {
+      on: {
+        USER_REPLIED: { target: 'bot_handling' },
+        TIMEOUT_24H: { target: 'abandoned' },
+        HUMAN_HANDOFF_REQUESTED: { target: 'human_handoff' }
+      }
+    },
+    bot_handling: {
+      on: {
+        BOT_REPLIED: { target: 'waiting_user_reply' },
+        ACTION_TAKEN: { target: 'action_taken' },
+        HUMAN_HANDOFF_REQUESTED: { target: 'human_handoff' }
+      }
+    },
+    human_handoff: {
+      on: {
+        ACTION_TAKEN: { target: 'action_taken' },
+        CLOSE: { target: 'closed' }
+      }
+    },
+    action_taken: {
+      on: {
+        INBOUND_MESSAGE: { target: 'engaged' },
+        CLOSE: { target: 'closed' }
+      }
+    },
+    abandoned: {
+      on: {
+        INBOUND_MESSAGE: { target: 'engaged' }  // re-engaja
+      }
+    },
+    closed: {
+      type: 'final'
+    }
+  }
+})
+```
+
+### Persistência — load + transition + save
+
+```typescript
+// PT-BR: hydrate state machine do PG, processa evento, persiste novo state
+async function processConversationEvent(orgId: string, contactPhone: string, event: ConversationEvent) {
+  // 1. Load existing conversation
+  const { data: conv } = await admin
+    .from('conversations')
+    .select('*')
+    .eq('org_id', orgId)
+    .eq('contact_phone', contactPhone)
+    .order('started_at', { ascending: false })
+    .limit(1)
+    .single()
+
+  // 2. Hydrate xstate actor com state persistido
+  const actor = createActor(conversationMachine, {
+    input: { orgId, contactPhone, contactName: conv?.contact_name, collectedFields: conv?.state_data || {} },
+    snapshot: conv ? { value: conv.state, context: conv.state_data, status: 'active' } : undefined
+  })
+  actor.start()
+
+  // 3. Send event
+  actor.send(event)
+
+  // 4. Get new state
+  const snapshot = actor.getSnapshot()
+  const newState = snapshot.value as string
+
+  // 5. Persist (REGRA #1)
+  await admin.from('conversations').upsert({
+    id: conv?.id,
+    org_id: orgId,
+    contact_phone: contactPhone,
+    state: newState,
+    state_data: snapshot.context,
+    last_message_at: new Date().toISOString()
+  })
+
+  // 6. Audit transition (REGRA #3)
+  if (conv?.state !== newState) {
+    await admin.rpc('audit_log', {
+      p_event_type: 'custom_conversation_transition',
+      p_tenant_id: orgId,
+      p_payload: {
+        from_state: conv?.state,
+        to_state: newState,
+        contact_phone: contactPhone
+      }
+    })
+  }
+
+  return snapshot
+}
+```
+
+### Cron timeout 24h (REGRA #4)
+
+```sql
+select cron.schedule(
+  'conversation-timeout-24h',
+  '*/30 * * * *',  -- a cada 30min
+  $$
+    update public.conversations
+    set state = 'abandoned',
+        last_message_at = now()
+    where state = 'waiting_user_reply'
+      and last_message_at < now() - interval '24 hours';
+  $$
+);
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: State em variável global da Edge Function
+
+**Errado:**
+```typescript
+const conversationStates = new Map<string, string>()  // in-memory
+```
+
+**Por quê:** Edge Function reinicia (cold start) → Map vazio → conversa perdida.
+
+**Certo:** REGRA #1 — `conversations.state` em PG, hydrate xstate actor com snapshot.
+
+### Anti-pattern 2: if/else aninhado em vez de state machine
+
+**Errado:**
+```typescript
+if (conv.state === 'started') {
+  if (msg.includes('sim')) { ... }
+  else if (msg.includes('atendente')) { ... }
+  // 50 lines of nested ifs
+}
+```
+
+**Por quê:** transições implícitas, hard to audit, bug silencioso quando adiciona novo estado.
+
+**Certo:** REGRA #2 — xstate `setup({...}).createMachine({...})` declarativo.
+
+### Anti-pattern 3: Sem timeout para abandono
+
+**Errado:**
+```sql
+-- Nenhum cron — conversas em waiting_user_reply ficam para sempre
+```
+
+**Por quê:** dashboards lotados de conversas "abertas" que na verdade abandonadas. Métricas de conversion erradas.
+
+**Certo:** REGRA #4 — pg_cron 30min checa timeout 24h.
+
+## Ver também
+
+- [evolution-go-whatsapp-integration](../evolution-go-whatsapp-integration/SKILL.md) — sibling, webhook handler integra com state machine
+- [crm-lead-pipeline-patterns](../crm-lead-pipeline-patterns/SKILL.md) — Phase 113, conversa.action_taken → lead criado
+- [audit-log-multi-tenant](../audit-log-multi-tenant/SKILL.md) — eventos `custom_conversation_transition`
+- [supabase-cron-queues](../supabase-cron-queues/SKILL.md) — pg_cron timeout 24h
+- [_shared-multi-tenant/glossary.md](../_shared-multi-tenant/glossary.md) — `conversation state machine`
+- [xstate v5 docs](https://stately.ai/docs/xstate) — biblioteca canônica