npm - @luanpdd/kit-mcp - Versions diffs - 1.31.0 → 1.33.0 - Mend

@luanpdd/kit-mcp 1.31.0 → 1.33.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (30) hide show

package/README.md +1 -1
package/kit/COMPATIBILITY.md +5 -0
package/kit/agents/designer-ui.md +216 -0
package/kit/agents/supabase-auth-bootstrapper.md +15 -1
package/kit/agents/supabase-auth-hook-writer.md +418 -0
package/kit/agents/supabase-mfa-implementer.md +439 -0
package/kit/agents/supabase-oauth-server-implementer.md +507 -0
package/kit/agents/supabase-social-auth-implementer.md +451 -0
package/kit/agents/supabase-sso-saml-architect.md +549 -0
package/kit/commands/supabase.md +21 -1
package/kit/file-manifest.json +29 -6
package/kit/skills/supabase-auth-hardening/SKILL.md +674 -0
package/kit/skills/supabase-auth-hooks/SKILL.md +875 -0
package/kit/skills/supabase-auth-methods/SKILL.md +486 -0
package/kit/skills/supabase-auth-sessions/SKILL.md +579 -0
package/kit/skills/supabase-auth-ssr/SKILL.md +60 -14
package/kit/skills/supabase-enterprise-sso-saml/SKILL.md +545 -0
package/kit/skills/supabase-jwt-signing-keys/SKILL.md +399 -0
package/kit/skills/supabase-mfa/SKILL.md +488 -0
package/kit/skills/supabase-oauth-server/SKILL.md +537 -0
package/kit/skills/supabase-social-oauth/SKILL.md +480 -0
package/kit/skills/supabase-third-party-auth/SKILL.md +450 -0
package/kit/skills/ui-anti-padroes-ia/SKILL.md +261 -0
package/kit/skills/ui-contexto-produto/SKILL.md +248 -0
package/kit/skills/ui-cor-estrategia/SKILL.md +213 -0
package/kit/skills/ui-critica-auditoria/SKILL.md +260 -0
package/kit/skills/ui-motion-funcional/SKILL.md +264 -0
package/kit/skills/ui-ritmo-espacial/SKILL.md +259 -0
package/kit/skills/ui-tipografia/SKILL.md +211 -0
package/package.json +1 -1

package/kit/skills/supabase-auth-hardening/SKILL.md ADDED Viewed

@@ -0,0 +1,674 @@
+---
+name: supabase-auth-hardening
+description: Use ao configurar SMTP customizado, templates de email, redirect URLs, rate limits, CAPTCHA, segurança de senha e audit logs de autenticação no Supabase.
+---
+# Supabase — Hardening de Autenticação (Config, SMTP, Rate Limits, CAPTCHA)
+## Quando usar
+LLM carrega esta skill quando o projeto precisar **endurecer a segurança de autenticação** do Supabase — configurando SMTP para produção, protegendo contra bots e abuso, gerenciando email templates, redirect URLs seguras ou habilitando proteção de senhas.
+Trigger phrases:
+- "custom SMTP Supabase", "email template Supabase"
+- "redirect URLs Supabase", "rate limit auth"
+- "CAPTCHA Supabase", "hCaptcha", "Turnstile"
+- "password security Supabase", "leaked password protection"
+- "auth audit logs", "signup abuse Supabase"
+- "email prefetching problema", "OTP email Supabase"
+## Princípio canônico
+Auth hardening em Supabase tem **4 camadas complementares**:
+1. **Config básica** — controlar quem pode se registrar, confirmar email, sessões anônimas
+2. **SMTP + email templates** — garantir entregabilidade e segurança dos emails de auth
+3. **Rate limits + CAPTCHA** — proteger contra abuso automatizado e bots
+4. **Password security + audit** — senhas fortes, proteção contra vazamentos, rastreabilidade
+Nenhuma camada substitui as outras — produção exige todas as quatro.
+## Config geral de autenticação
+### Via Dashboard
+`Authentication > Providers > Email`
+### Via `config.toml`
+```toml
+[auth]
+# Permitir ou bloquear novos registros (false = apenas usuários existentes)
+enable_signup = true
+# Exigir confirmação de email antes de liberar acesso
+double_confirm_email_change = true
+# Sessões anônimas (usuários sem login — útil para carrinhos, rascunhos)
+enable_anonymous_sign_ins = false
+# Permitir que usuários vinculem múltiplos provedores de auth manualmente
+enable_manual_linking = false
+# Expiração do access token (padrão: 3600 = 1h)
+jwt_expiry = 3600
+# Refresh token não expira automaticamente
+enable_refresh_token_rotation = true
+refresh_token_reuse_interval = 10   # janela de reuso em segundos (graceful)
+```
+### Configurações recomendadas por ambiente
+| Config | Desenvolvimento | Produção |
+|--------|----------------|---------|
+| `enable_signup` | `true` | Depende do modelo (invite-only = `false`) |
+| `double_confirm_email_change` | `false` | `true` |
+| `enable_anonymous_sign_ins` | `true` | Conforme necessidade |
+| `enable_refresh_token_rotation` | `true` | `true` (obrigatório) |
+## Email Templates
+### Tipos de templates
+**Emails de autenticação** (enviados via SMTP configurado):
+- `confirm_signup` — confirmação de email no cadastro
+- `invite` — convite de usuário por admin
+- `magic_link` — link mágico de login
+- `change_email_address` — confirmação de troca de email
+- `reset_password` — redefinição de senha
+**Emails de notificação de segurança** (sempre enviados, não customizáveis via template):
+- Alertas de login de novo dispositivo
+- Notificações de MFA configurado/removido
+### Variáveis disponíveis nos templates
+| Variável | Descrição |
+|----------|-----------|
+| `{{ .ConfirmationURL }}` | URL completa de confirmação (inclui token) |
+| `{{ .Token }}` | OTP de 6 dígitos (para fluxo OTP, evita prefetching) |
+| `{{ .TokenHash }}` | Hash do token (fluxo PKCE — não expõe token direto) |
+| `{{ .SiteURL }}` | URL base do site (configurada em Auth settings) |
+| `{{ .RedirectTo }}` | URL de redirect passada pelo cliente |
+| `{{ .Email }}` | Email do usuário |
+| `{{ .NewEmail }}` | Novo email (para change_email_address) |
+| `{{ .Data }}` | Metadados adicionais (objeto JSON) |
+### Problema crítico: Email Prefetching
+Alguns serviços de email corporativos (Outlook, Exchange, scanners de segurança) **acessam automaticamente links nos emails** para verificar malware — consumindo o token de confirmação antes do usuário clicar.
+**Errado (vulnerável a prefetching):**
+```html
+<!-- Template padrão com link direto -->
+<p>Confirme seu cadastro:</p>
+<a href="{{ .ConfirmationURL }}">Confirmar email</a>
+<!-- Scanner consome o link antes do usuário → usuário vê "link expirado" -->
+```
+**Solução A — OTP (recomendado para flows sensíveis):**
+```html
+<!-- Template com OTP de 6 dígitos — scanner não "usa" um número -->
+<p>Seu código de confirmação: <strong>{{ .Token }}</strong></p>
+<p>Digite este código na tela de confirmação do aplicativo.</p>
+```
+```ts
+// Frontend — verificar OTP
+const { data, error } = await supabase.auth.verifyOtp({
+  email: userEmail,
+  token: otpDigitado,    // código 6 dígitos do email
+  type: 'signup',        // 'signup' | 'magiclink' | 'recovery' | 'email_change'
+})
+```
+**Solução B — Link customizado com token_hash (PKCE flow):**
+```html
+<!-- Token hash não é o token real — scanner não consegue usar -->
+<a href="{{ .SiteURL }}/confirm?token_hash={{ .TokenHash }}&type=signup&next={{ .RedirectTo }}">
+  Confirmar email
+</a>
+```
+```ts
+// Rota /confirm — trocar token_hash pelo token real
+export async function GET(request: Request) {
+  const url = new URL(request.url)
+  const tokenHash = url.searchParams.get('token_hash')
+  const type = url.searchParams.get('type') as any
+  if (tokenHash && type) {
+    const { error } = await supabase.auth.verifyOtp({ token_hash: tokenHash, type })
+    if (!error) redirect(url.searchParams.get('next') ?? '/')
+  }
+  redirect('/auth/error?message=link-invalido')
+}
+```
+### Customizar templates com Go Templates
+Templates suportam sintaxe Go Template para lógica condicional:
+```html
+{{ if eq .Data.plan "enterprise" }}
+  <p>Bem-vindo ao plano Enterprise! Seu gerente de conta entrará em contato.</p>
+{{ else }}
+  <p>Bem-vindo! Comece sua avaliação gratuita de 14 dias.</p>
+{{ end }}
+<p>Confirme seu email:</p>
+<a href="{{ .ConfirmationURL }}">Confirmar</a>
+```
+### Management API para templates
+```ts
+// Atualizar template via API (service_role)
+const { error } = await supabaseAdmin.from('_supabase_auth_templates').upsert({
+  template_type: 'confirm_signup',
+  subject: 'Confirme seu cadastro em {{ .SiteURL }}',
+  content: '<html>...</html>',
+})
+```
+## Custom SMTP
+### Por que SMTP customizado é obrigatório em produção
+O SMTP padrão do Supabase:
+- **Só envia para endereços da equipe do projeto** — não envia para usuários externos
+- **Rate limit muito baixo** — inadequado para produção
+- **Não customizável** — domínio `noreply@mail.supabase.io`, sem DKIM/DMARC
+**Provedores recomendados por caso de uso:**
+| Provedor | Melhor para |
+|----------|------------|
+| Resend | DX moderno, APIs React Email |
+| AWS SES | Escala, custo baixo, ecossistema AWS |
+| Postmark | Alta entregabilidade transacional |
+| SendGrid | Volume alto, analytics |
+| Mailgun | Europeu, GDPR |
+### Configurar via `config.toml`
+```toml
+[auth.email.smtp]
+enabled = true
+host = "smtp.resend.com"
+port = 465
+user = "resend"
+pass = "env(SMTP_PASSWORD)"     # env var — nunca valor direto em config.toml
+admin_email = "noreply@meuapp.com"
+sender_name = "Meu App"
+```
+### Configurar via Dashboard
+`Authentication > Providers > Email > Custom SMTP` → preencher host, port, user, password.
+### Checklist de configuração de email
+```
+☐ SPF record — "v=spf1 include:_spf.resend.com ~all"
+☐ DKIM record — chave pública no DNS (obtida no provedor)
+☐ DMARC policy — "v=DMARC1; p=quarantine; rua=mailto:dmarc@meuapp.com"
+☐ Domínio de envio verificado no provedor
+☐ Endereço de reply-to configurado
+☐ Emails de auth separados dos emails de marketing (subdomínios diferentes)
+☐ Testar entregabilidade com mail-tester.com
+```
+### Separar emails de auth dos de marketing
+**Problema:** usar o mesmo domínio/IP para emails transacionais (auth) e marketing (newsletters) faz com que reclamações de spam do marketing afetem a entregabilidade de emails de auth.
+**Certo:** usar subdomínio dedicado para auth:
+- Auth: `noreply@auth.meuapp.com` (subdomínio `auth.`)
+- Marketing: `news@meuapp.com` (domínio principal)
+### Mitigação de abuso de SMTP
+```toml
+[auth.email]
+# Rate limit de emails por hora por IP
+max_frequency = "1m"    # mínimo 1 minuto entre emails para o mesmo endereço
+```
+Combinado com CAPTCHA (ver abaixo) e rate limits de endpoint.
+## Redirect URLs
+### Site URL
+A Site URL é o redirect padrão quando nenhum `redirectTo` é especificado:
+```toml
+[auth]
+site_url = "https://meuapp.com"    # PRODUÇÃO — nunca deixar como localhost
+# site_url = "http://localhost:3000"  # só em desenvolvimento local
+```
+**Erro crítico:** Site URL apontando para `localhost` em produção — usuários são redirecionados para localhost após login/confirmação.
+### Allowlist de URLs
+```toml
+[auth]
+additional_redirect_urls = [
+  "https://meuapp.com",
+  "https://app.meuapp.com",
+  "https://meuapp.vercel.app",
+]
+```
+### Wildcards em redirect URLs
+| Wildcard | Comportamento |
+|----------|--------------|
+| `*` | Qualquer string sem `/` (mesmo segmento) |
+| `**` | Qualquer string incluindo `/` (multi-segmento) |
+| `?` | Um único caractere |
+```toml
+additional_redirect_urls = [
+  # URLs de preview do Vercel (branch deploys)
+  "https://meuapp-*.vercel.app",       # * cobre apenas um segmento
+  "https://meuapp-git-*.vercel.app/**", # ** cobre qualquer path após
+  # Netlify
+  "https://*--meuapp.netlify.app",
+  # Mobile deep links
+  "meuapp://auth/callback",
+]
+```
+**Atenção com wildcards:** wildcards muito amplos (ex: `https://*`) são vetores de open redirect. Ser específico ao máximo — usar o domínio base como prefixo do wildcard.
+### Passando `redirectTo` no código
+```ts
+// Signup com redirect customizado
+const { error } = await supabase.auth.signUp({
+  email: 'user@exemplo.com',
+  password: 'senha123',
+  options: {
+    emailRedirectTo: 'https://meuapp.com/onboarding',  // deve estar na allowlist
+  },
+})
+// Magic link com redirect customizado
+const { error } = await supabase.auth.signInWithOtp({
+  email: 'user@exemplo.com',
+  options: {
+    emailRedirectTo: 'https://meuapp.com/dashboard',
+  },
+})
+```
+## Rate Limits
+### Algoritmo Token Bucket
+Supabase usa token bucket para rate limiting de auth:
+```
+Capacidade: N tokens
+Reabastecimento: K tokens por período
+Request consome 1 token
+Quando tokens = 0: requisição rejeitada com 429
+```
+### Limites padrão por endpoint
+| Endpoint | Limite padrão | Customizável |
+|----------|--------------|--------------|
+| `/auth/v1/signup` | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/token` (signIn) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/otp` (magic link) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/recover` (reset password) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/user` | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/resend` | 3/hora por email | Não |
+### IP Forwarding com `Sb-Forwarded-For`
+Em deployments atrás de proxy/load balancer, o IP real do cliente pode ser mascarado. Use o header `Sb-Forwarded-For` para informar o IP real ao Supabase:
+```ts
+// Edge Function ou backend — repassar IP real para rate limiting
+const response = await fetch(`${SUPABASE_URL}/auth/v1/signup`, {
+  method: 'POST',
+  headers: {
+    'Content-Type': 'application/json',
+    'apikey': SUPABASE_ANON_KEY,
+    'Sb-Forwarded-For': request.headers.get('x-forwarded-for') ?? '',
+    // ATENÇÃO: 'Sb-Forwarded-For' só é respeitado com service_role key
+    'Authorization': `Bearer ${SUPABASE_SERVICE_ROLE_KEY}`,
+  },
+  body: JSON.stringify({ email, password }),
+})
+```
+**Requisito de segurança:** o header `Sb-Forwarded-For` é aceito apenas quando a requisição usa `service_role` key. Com `anon` key, o header é ignorado (prevenção de spoofing).
+## CAPTCHA
+### Provedores suportados
+| Provedor | Tipo | Privacy |
+|----------|------|---------|
+| **hCaptcha** | Challenges visuais | Maior privacidade |
+| **Cloudflare Turnstile** | Invisível (comportamental) | Privacy-first |
+### Habilitar via Dashboard
+`Authentication > Security > CAPTCHA protection` → Selecionar provedor → Colar Site Key.
+### Habilitar via `config.toml`
+```toml
+[auth.captcha]
+enabled = true
+provider = "turnstile"  # ou "hcaptcha"
+secret = "env(CAPTCHA_SECRET_KEY)"
+```
+### Componente frontend (React)
+```tsx
+// components/AuthForm.tsx — com Turnstile
+import { Turnstile } from '@marsidev/react-turnstile'
+export function SignUpForm() {
+  const [captchaToken, setCaptchaToken] = useState<string>('')
+  const supabase = createClient()
+  async function handleSubmit(e: React.FormEvent<HTMLFormElement>) {
+    e.preventDefault()
+    const formData = new FormData(e.currentTarget)
+    const { error } = await supabase.auth.signUp({
+      email: formData.get('email') as string,
+      password: formData.get('password') as string,
+      options: {
+        captchaToken,   // token obtido do widget
+      },
+    })
+    if (error) console.error(error.message)
+  }
+  return (
+    <form onSubmit={handleSubmit}>
+      <input name="email" type="email" required />
+      <input name="password" type="password" required />
+      <Turnstile
+        siteKey={process.env.NEXT_PUBLIC_TURNSTILE_SITE_KEY!}
+        onSuccess={setCaptchaToken}
+        onExpire={() => setCaptchaToken('')}
+      />
+      <button type="submit" disabled={!captchaToken}>Criar conta</button>
+    </form>
+  )
+}
+```
+### CAPTCHA em outros endpoints
+```ts
+// Magic link com CAPTCHA
+const { error } = await supabase.auth.signInWithOtp({
+  email,
+  options: { captchaToken },
+})
+// Reset de senha com CAPTCHA
+const { error } = await supabase.auth.resetPasswordForEmail(email, {
+  captchaToken,
+  redirectTo: 'https://meuapp.com/reset',
+})
+```
+### hCaptcha — Alternativa com maior privacidade
+```tsx
+import HCaptcha from '@hcaptcha/react-hcaptcha'
+function SignInForm() {
+  const captchaRef = useRef<HCaptcha>(null)
+  const [captchaToken, setCaptchaToken] = useState<string>('')
+  return (
+    <form>
+      <HCaptcha
+        sitekey={process.env.NEXT_PUBLIC_HCAPTCHA_SITE_KEY!}
+        ref={captchaRef}
+        onVerify={setCaptchaToken}
+        onExpire={() => setCaptchaToken('')}
+      />
+      <button type="submit" disabled={!captchaToken}>Entrar</button>
+    </form>
+  )
+}
+```
+## Password Security
+### Configurar políticas de senha
+```toml
+[auth.password]
+# Comprimento mínimo (padrão: 6, recomendado: 12+)
+min_length = 12
+# Exigir caracteres específicos
+require_uppercase = true     # pelo menos 1 maiúscula
+require_lowercase = true     # pelo menos 1 minúscula
+require_numbers = true       # pelo menos 1 número
+require_special_characters = true  # pelo menos 1 especial
+# Proteção contra senhas vazadas (HaveIBeenPwned) — Pro+
+check_breached_passwords = true
+```
+### Leaked Password Protection (HaveIBeenPwned)
+```toml
+[auth.password]
+check_breached_passwords = true   # rejeita senhas em listas de vazamento conhecidas
+```
+Como funciona: a senha é verificada via k-Anonymity contra a API HaveIBeenPwned — apenas os 5 primeiros caracteres do hash SHA-1 são enviados (a senha nunca sai do ambiente).
+### Exigir reautenticação antes de trocar senha
+```ts
+// 1. Solicitar verificação de identidade (envia email/SMS)
+const { error } = await supabase.auth.reauthenticate()
+// 2. Verificar código recebido
+const { error } = await supabase.auth.verifyOtp({
+  email: userEmail,
+  token: codigoDigitado,
+  type: 'reauthentication',
+})
+// 3. Após verificação, atualizar senha
+const { error } = await supabase.auth.updateUser({
+  password: novaSenha,
+})
+```
+### Exigir senha atual ao trocar senha
+```ts
+// Passar a senha atual junto da nova senha para garantir autenticidade
+const { error } = await supabase.auth.updateUser({
+  password: novaSenha,
+  // current_password evita ataques de session fixation
+  // (disponível em versões recentes do @supabase/supabase-js)
+})
+```
+## Audit Logs
+### Tabela `auth.audit_log_entries`
+```sql
+-- Ver últimas ações de auth
+select
+  created_at,
+  payload->>'action' as action,
+  payload->>'actor_id' as user_id,
+  payload->>'actor_username' as email,
+  payload->>'ip_address' as ip,
+  payload->>'traits' as traits
+from auth.audit_log_entries
+order by created_at desc
+limit 100;
+-- Filtrar por tipo de ação
+select *
+from auth.audit_log_entries
+where payload->>'action' = 'login'
+  and created_at > now() - interval '24 hours';
+```
+### Ações registradas
+| Ação | Descrição |
+|------|-----------|
+| `login` | Login bem-sucedido |
+| `logout` | Logout |
+| `signup` | Novo cadastro |
+| `token_refreshed` | Refresh de access token |
+| `password_recovery` | Pedido de reset de senha |
+| `user_modified` | Dados do usuário atualizados |
+| `user_deleted` | Conta deletada |
+| `mfa_challenge_verified` | Desafio MFA verificado |
+| `invite` | Usuário convidado por admin |
+### Armazenamento externo de audit logs
+Por padrão, logs ficam no Postgres do projeto (tabela `auth.audit_log_entries`). Para retenção de longo prazo ou compliance (LGPD, SOC 2):
+```ts
+// Edge Function — exportar audit logs para armazenamento externo
+// supabase/functions/export-audit-logs/index.ts
+import { createClient } from '@supabase/supabase-js'
+Deno.serve(async () => {
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!
+  )
+  const since = new Date(Date.now() - 60 * 60 * 1000).toISOString() // última hora
+  const { data: logs } = await supabase
+    .from('auth.audit_log_entries')
+    .select('*')
+    .gt('created_at', since)
+    .order('created_at')
+  if (logs?.length) {
+    // Enviar para S3, Datadog, Elastic, etc.
+    await fetch(Deno.env.get('LOG_EXPORT_URL')!, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify({ logs }),
+    })
+  }
+  return new Response('ok')
+})
+```
+### Desabilitar armazenamento no Postgres (se usar externo)
+```toml
+[auth]
+# Desabilita inserção em auth.audit_log_entries (ainda envia para hooks)
+enable_audit_log = false
+```
+## Regras absolutas
+1. **Produção exige SMTP custom** — o SMTP padrão do Supabase só envia para membros da equipe do projeto; sem SMTP custom, usuários não recebem emails de confirmação/reset
+2. **Habilitar CAPTCHA contra abuso de signup por bots** — signups automatizados consomem cota de email e poluem a base de usuários; Turnstile invisível tem menor atrito
+3. **Habilitar leaked password protection** — HaveIBeenPwned k-Anonymity não expõe a senha; rejeita 99%+ das senhas mais comuns em vazamentos
+4. **Site URL deve ser a URL de produção, não localhost** — usuários redirecionados para localhost perdem o fluxo de auth; verificar antes do deploy
+5. **URLs de preview precisam de entradas na allowlist** — Vercel e Netlify geram URLs dinâmicas por branch; usar wildcard específico com domínio base
+6. **Separar emails de auth dos emails de marketing** — usar subdomínio dedicado para auth; reclamações de spam do marketing não devem afetar entregabilidade transacional
+## Anti-patterns
+### Anti-pattern 1: SMTP padrão em produção
+**Errado:**
+```toml
+# config.toml sem configuração de SMTP
+# "vai funcionar no dashboard.supabase.com" — ERRADO para usuários reais
+```
+**Por quê:** o SMTP built-in do Supabase é exclusivo para desenvolvimento e testes — emails para endereços fora da equipe do projeto são silenciosamente descartados. Usuários em produção não recebem emails de confirmação ou reset de senha.
+**Certo:** configurar SMTP custom (Resend, SES, Postmark) com domínio verificado, DKIM e DMARC antes de ir para produção.
+### Anti-pattern 2: Site URL apontando para localhost
+**Errado:**
+```toml
+[auth]
+site_url = "http://localhost:3000"  # copiado do .env de dev → esquecido em produção
+```
+**Por quê:** após clicar no link de confirmação de email ou reset de senha, o usuário é redirecionado para `localhost:3000` — que não existe em produção. Fluxo de auth quebrado para todos os usuários.
+**Certo:** `site_url` em staging/produção sempre aponta para a URL real; usar variável de ambiente ou CI/CD para garantir que o valor correto seja aplicado por ambiente.
+### Anti-pattern 3: Signup sem CAPTCHA
+**Errado:**
+```ts
+// Signup direto sem proteção
+const { error } = await supabase.auth.signUp({ email, password })
+```
+**Por quê:** sem CAPTCHA, qualquer script pode criar milhares de contas automaticamente — consumindo cota de email SMTP, poluindo a base de usuários, e potencialmente causando custos inesperados.
+**Certo:** habilitar Turnstile (invisível, menos atrito) ou hCaptcha; passar `captchaToken` no `signUp()`.
+### Anti-pattern 4: Misturar emails de auth e marketing
+**Errado:**
+```
+Domínio: meuapp.com
+Auth emails: noreply@meuapp.com (mesmo domínio/IP)
+Marketing: newsletter@meuapp.com (mesmo domínio/IP)
+```
+**Por quê:** alta taxa de unsubscribe ou reclamações de spam nas newsletters degrada a reputação do domínio/IP → emails de auth (confirmação, reset de senha) também caem no spam ou são bloqueados.
+**Certo:**
+```
+Auth: noreply@auth.meuapp.com (subdomínio dedicado, IP separado)
+Marketing: news@meuapp.com (domínio principal)
+```
+Reputações de email são por domínio/IP; subdominios permitem isolamento.
+## Ver também
+- [supabase-auth-methods](../supabase-auth-methods/SKILL.md) — panorama de métodos de auth (email, magic link, OAuth social)
+- [supabase-social-oauth](../supabase-social-oauth/SKILL.md) — OAuth social (Google, GitHub, etc.)
+- [supabase-auth-hooks](../supabase-auth-hooks/SKILL.md) — hooks de autenticação (before/after events)
+- [supabase-mfa](../supabase-mfa/SKILL.md) — Multi-Factor Authentication (TOTP, SMS)
+- [supabase-auth-bootstrapper](../../agents/supabase-auth-bootstrapper.md) — agente que configura auth completo desde o início
+- [supabase-auth-ssr](../supabase-auth-ssr/SKILL.md) — @supabase/ssr para Next.js