npm - @luanpdd/kit-mcp - Versions diffs - 1.32.0 → 1.34.0 - Mend

@luanpdd/kit-mcp 1.32.0 → 1.34.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (376) hide show

package/LICENSE +21 -21
package/README.md +168 -168
package/gates/agent-no-recursive-dispatch.md +84 -84
package/kit/COMANDOS.md +138 -138
package/kit/COMPATIBILITY.md +70 -70
package/kit/README.md +76 -76
package/kit/agents/advisor-researcher.md +109 -109
package/kit/agents/ai-mutation-tester.md +289 -289
package/kit/agents/assumptions-analyzer.md +110 -110
package/kit/agents/audit-log-implementer.md +314 -314
package/kit/agents/auditor-consistencia-isolamento.md +414 -414
package/kit/agents/b2b-saas-architect.md +157 -157
package/kit/agents/burn-rate-forecaster.md +153 -153
package/kit/agents/cascading-failures-auditor.md +299 -299
package/kit/agents/codebase-mapper.md +769 -769
package/kit/agents/crm-pipeline-implementer.md +257 -257
package/kit/agents/debugger.md +814 -814
package/kit/agents/designer-ui.md +216 -0
package/kit/agents/detector-tenant-quente.md +338 -338
package/kit/agents/evolution-go-integrator.md +201 -201
package/kit/agents/example-reviewer.md +22 -22
package/kit/agents/executor.md +565 -565
package/kit/agents/golden-signals-instrumenter.md +232 -232
package/kit/agents/incident-investigator.md +238 -238
package/kit/agents/integration-checker.md +203 -203
package/kit/agents/invite-flow-implementer.md +190 -190
package/kit/agents/legacy-characterizer.md +369 -369
package/kit/agents/lgpd-compliance-auditor.md +296 -296
package/kit/agents/load-shedding-instrumenter.md +290 -290
package/kit/agents/multi-tenant-isolation-auditor.md +254 -254
package/kit/agents/multi-tenant-rls-writer.md +341 -341
package/kit/agents/nyquist-auditor.md +181 -181
package/kit/agents/observability-coverage-auditor.md +316 -316
package/kit/agents/observability-instrumenter.md +191 -191
package/kit/agents/omm-auditor.md +291 -291
package/kit/agents/org-onboarding-implementer.md +224 -224
package/kit/agents/payload-capture-instrumenter.md +274 -274
package/kit/agents/phase-researcher.md +697 -697
package/kit/agents/plan-checker.md +275 -275
package/kit/agents/planner.md +923 -923
package/kit/agents/postmortem-writer.md +273 -273
package/kit/agents/project-researcher.md +653 -653
package/kit/agents/prr-conductor.md +287 -287
package/kit/agents/refactor-safety-auditor.md +405 -405
package/kit/agents/release-pipeline-auditor.md +364 -364
package/kit/agents/research-synthesizer.md +246 -246
package/kit/agents/roadmapper.md +678 -678
package/kit/agents/schema-checker.md +160 -160
package/kit/agents/seam-finder.md +360 -360
package/kit/agents/shotgun-surgery-detector.md +350 -350
package/kit/agents/slo-engineer.md +217 -217
package/kit/agents/storytelling-analyst.md +300 -300
package/kit/agents/supabase-architect.md +249 -249
package/kit/agents/supabase-auth-bootstrapper.md +400 -400
package/kit/agents/supabase-auth-hook-writer.md +418 -418
package/kit/agents/supabase-branching-architect.md +563 -563
package/kit/agents/supabase-cicd-pipeline-implementer.md +778 -778
package/kit/agents/supabase-column-privileges-writer.md +400 -400
package/kit/agents/supabase-edge-fn-tester.md +288 -288
package/kit/agents/supabase-edge-fn-writer.md +341 -341
package/kit/agents/supabase-mfa-implementer.md +439 -439
package/kit/agents/supabase-migration-writer.md +386 -386
package/kit/agents/supabase-oauth-server-implementer.md +507 -507
package/kit/agents/supabase-rbac-implementer.md +393 -393
package/kit/agents/supabase-realtime-implementer.md +364 -364
package/kit/agents/supabase-rls-hardener.md +522 -522
package/kit/agents/supabase-rls-writer.md +324 -324
package/kit/agents/supabase-roles-implementer.md +356 -356
package/kit/agents/supabase-social-auth-implementer.md +451 -451
package/kit/agents/supabase-sso-saml-architect.md +549 -549
package/kit/agents/supabase-storage-implementer.md +407 -407
package/kit/agents/super-admin-implementer.md +282 -282
package/kit/agents/toil-auditor.md +268 -268
package/kit/agents/ui-auditor.md +438 -438
package/kit/agents/ui-checker.md +305 -305
package/kit/agents/ui-researcher.md +356 -356
package/kit/agents/user-profiler.md +176 -176
package/kit/agents/validador-evolucao-schema.md +336 -336
package/kit/agents/verifier.md +729 -729
package/kit/commands/adicionar-backlog.md +75 -75
package/kit/commands/adicionar-fase.md +42 -42
package/kit/commands/adicionar-tarefa.md +45 -45
package/kit/commands/adicionar-testes.md +41 -41
package/kit/commands/ajuda.md +21 -21
package/kit/commands/atualizar.md +37 -37
package/kit/commands/auditar-cascading.md +111 -111
package/kit/commands/auditar-marco.md +179 -179
package/kit/commands/auditar-observabilidade-cobertura-workflow.md +121 -0
package/kit/commands/auditar-observabilidade-cobertura.md +183 -183
package/kit/commands/auditar-refactor.md +219 -219
package/kit/commands/auditar-release.md +109 -109
package/kit/commands/auditar-uat.md +23 -23
package/kit/commands/autonomo.md +40 -40
package/kit/commands/branch-pr.md +24 -24
package/kit/commands/burn-rate-status.md +408 -408
package/kit/commands/capturar-payloads.md +193 -193
package/kit/commands/caracterizar.md +212 -212
package/kit/commands/concluir-marco.md +247 -247
package/kit/commands/configuracoes.md +36 -36
package/kit/commands/dados-distribuidos.md +188 -188
package/kit/commands/definir-perfil.md +10 -10
package/kit/commands/depurar.md +190 -190
package/kit/commands/detectar-duplicacao.md +197 -197
package/kit/commands/discutir-fase.md +131 -131
package/kit/commands/encontrar-seams.md +136 -136
package/kit/commands/entrar-discord.md +17 -17
package/kit/commands/estatisticas.md +18 -18
package/kit/commands/example-greeting.md +33 -33
package/kit/commands/executar-fase.md +58 -58
package/kit/commands/expresso.md +56 -56
package/kit/commands/fase-ui.md +34 -34
package/kit/commands/fazer.md +57 -57
package/kit/commands/fio.md +125 -125
package/kit/commands/fluxos-trabalho.md +64 -64
package/kit/commands/forense.md +176 -176
package/kit/commands/gerenciador.md +38 -38
package/kit/commands/inserir-fase.md +31 -31
package/kit/commands/legacy.md +263 -263
package/kit/commands/limpeza.md +17 -17
package/kit/commands/listar-hipoteses-fase.md +45 -45
package/kit/commands/listar-workspaces.md +18 -18
package/kit/commands/load-shedding.md +117 -117
package/kit/commands/mapear-codebase.md +70 -70
package/kit/commands/multi-tenant.md +163 -163
package/kit/commands/nota.md +33 -33
package/kit/commands/novo-marco.md +43 -43
package/kit/commands/novo-projeto.md +41 -41
package/kit/commands/novo-workspace.md +43 -43
package/kit/commands/pausar-trabalho.md +37 -37
package/kit/commands/perfil-usuario.md +45 -45
package/kit/commands/pesquisar-fase.md +195 -195
package/kit/commands/planejar-fase.md +67 -67
package/kit/commands/planejar-lacunas.md +33 -33
package/kit/commands/plantar-ideia.md +25 -25
package/kit/commands/progresso.md +24 -24
package/kit/commands/proximo.md +30 -30
package/kit/commands/publicar.md +490 -490
package/kit/commands/rapido.md +35 -35
package/kit/commands/reaplicar-patches.md +124 -124
package/kit/commands/refactor-seguro.md +321 -321
package/kit/commands/relatorio-sessao.md +19 -19
package/kit/commands/remover-fase.md +31 -31
package/kit/commands/remover-workspace.md +26 -26
package/kit/commands/resumo-marco.md +50 -50
package/kit/commands/retomar-trabalho.md +40 -40
package/kit/commands/revisar-backlog.md +60 -60
package/kit/commands/revisar-ui.md +32 -32
package/kit/commands/revisar.md +37 -37
package/kit/commands/saude.md +21 -21
package/kit/commands/setup-notion.md +93 -93
package/kit/commands/storytelling.md +179 -179
package/kit/commands/supabase.md +238 -238
package/kit/commands/sync-main.md +68 -68
package/kit/commands/validar-fase.md +35 -35
package/kit/commands/verificar-tarefas.md +44 -44
package/kit/commands/verificar-trabalho.md +64 -64
package/kit/file-manifest.json +13 -3
package/kit/framework/bin/lib/commands.cjs +959 -959
package/kit/framework/bin/lib/config.cjs +442 -442
package/kit/framework/bin/lib/core.cjs +1230 -1230
package/kit/framework/bin/lib/frontmatter.cjs +336 -336
package/kit/framework/bin/lib/init.cjs +1442 -1442
package/kit/framework/bin/lib/milestone.cjs +252 -252
package/kit/framework/bin/lib/model-profiles.cjs +68 -68
package/kit/framework/bin/lib/phase.cjs +888 -888
package/kit/framework/bin/lib/profile-output.cjs +952 -952
package/kit/framework/bin/lib/profile-pipeline.cjs +539 -539
package/kit/framework/bin/lib/roadmap.cjs +329 -329
package/kit/framework/bin/lib/security.cjs +382 -382
package/kit/framework/bin/lib/state.cjs +1031 -1031
package/kit/framework/bin/lib/template.cjs +222 -222
package/kit/framework/bin/lib/uat.cjs +282 -282
package/kit/framework/bin/lib/verify.cjs +888 -888
package/kit/framework/bin/lib/workstream.cjs +491 -491
package/kit/framework/bin/tools.cjs +918 -918
package/kit/framework/commands/workstreams.md +63 -63
package/kit/framework/references/checkpoints.md +778 -778
package/kit/framework/references/continuation-format.md +249 -249
package/kit/framework/references/decimal-phase-calculation.md +64 -64
package/kit/framework/references/git-integration.md +295 -295
package/kit/framework/references/git-planning-commit.md +38 -38
package/kit/framework/references/model-profile-resolution.md +36 -36
package/kit/framework/references/model-profiles.md +139 -139
package/kit/framework/references/phase-argument-parsing.md +61 -61
package/kit/framework/references/planning-config.md +202 -202
package/kit/framework/references/questioning.md +162 -162
package/kit/framework/references/tdd.md +263 -263
package/kit/framework/references/ui-brand.md +160 -160
package/kit/framework/references/user-profiling.md +657 -657
package/kit/framework/references/verification-patterns.md +612 -612
package/kit/framework/references/workstream-flag.md +58 -58
package/kit/framework/templates/DEBUG.md +164 -164
package/kit/framework/templates/UAT.md +265 -265
package/kit/framework/templates/UI-SPEC.md +100 -100
package/kit/framework/templates/VALIDATION.md +76 -76
package/kit/framework/templates/claude-md.md +122 -122
package/kit/framework/templates/codebase/architecture.md +185 -185
package/kit/framework/templates/codebase/concerns.md +205 -205
package/kit/framework/templates/codebase/conventions.md +204 -204
package/kit/framework/templates/codebase/integrations.md +192 -192
package/kit/framework/templates/codebase/stack.md +158 -158
package/kit/framework/templates/codebase/structure.md +199 -199
package/kit/framework/templates/codebase/testing.md +301 -301
package/kit/framework/templates/config.json +44 -44
package/kit/framework/templates/context.md +352 -352
package/kit/framework/templates/continue-here.md +78 -78
package/kit/framework/templates/copilot-instructions.md +7 -7
package/kit/framework/templates/debug-subagent-prompt.md +91 -91
package/kit/framework/templates/dev-preferences.md +20 -20
package/kit/framework/templates/discovery.md +146 -146
package/kit/framework/templates/discussion-log.md +63 -63
package/kit/framework/templates/milestone-archive.md +123 -123
package/kit/framework/templates/milestone.md +115 -115
package/kit/framework/templates/phase-prompt.md +610 -610
package/kit/framework/templates/planner-subagent-prompt.md +117 -117
package/kit/framework/templates/project.md +186 -186
package/kit/framework/templates/requirements.md +231 -231
package/kit/framework/templates/research-project/ARCHITECTURE.md +204 -204
package/kit/framework/templates/research-project/FEATURES.md +147 -147
package/kit/framework/templates/research-project/PITFALLS.md +200 -200
package/kit/framework/templates/research-project/STACK.md +120 -120
package/kit/framework/templates/research-project/SUMMARY.md +170 -170
package/kit/framework/templates/research.md +419 -419
package/kit/framework/templates/retrospective.md +54 -54
package/kit/framework/templates/roadmap.md +202 -202
package/kit/framework/templates/state.md +176 -176
package/kit/framework/templates/summary-complex.md +59 -59
package/kit/framework/templates/summary-minimal.md +41 -41
package/kit/framework/templates/summary-standard.md +48 -48
package/kit/framework/templates/summary.md +209 -209
package/kit/framework/templates/user-profile.md +146 -146
package/kit/framework/templates/user-setup.md +256 -256
package/kit/framework/templates/verification-report.md +258 -258
package/kit/framework/workflows/add-phase.md +112 -112
package/kit/framework/workflows/add-tests.md +351 -351
package/kit/framework/workflows/add-todo.md +158 -158
package/kit/framework/workflows/audit-milestone.md +340 -340
package/kit/framework/workflows/audit-uat.md +109 -109
package/kit/framework/workflows/autonomous.md +891 -891
package/kit/framework/workflows/check-todos.md +177 -177
package/kit/framework/workflows/cleanup.md +152 -152
package/kit/framework/workflows/complete-milestone.md +696 -696
package/kit/framework/workflows/diagnose-issues.md +231 -231
package/kit/framework/workflows/discovery-phase.md +289 -289
package/kit/framework/workflows/discuss-phase-assumptions.md +653 -653
package/kit/framework/workflows/discuss-phase.md +784 -784
package/kit/framework/workflows/do.md +104 -104
package/kit/framework/workflows/execute-phase.md +838 -838
package/kit/framework/workflows/execute-plan.md +510 -510
package/kit/framework/workflows/fast.md +102 -102
package/kit/framework/workflows/forensics.md +265 -265
package/kit/framework/workflows/health.md +181 -181
package/kit/framework/workflows/help.md +619 -619
package/kit/framework/workflows/insert-phase.md +130 -130
package/kit/framework/workflows/list-phase-assumptions.md +178 -178
package/kit/framework/workflows/list-workspaces.md +56 -56
package/kit/framework/workflows/manager.md +362 -362
package/kit/framework/workflows/map-codebase.md +377 -377
package/kit/framework/workflows/milestone-summary.md +223 -223
package/kit/framework/workflows/new-milestone.md +486 -486
package/kit/framework/workflows/new-project.md +1159 -1159
package/kit/framework/workflows/new-workspace.md +237 -237
package/kit/framework/workflows/next.md +97 -97
package/kit/framework/workflows/node-repair.md +92 -92
package/kit/framework/workflows/note.md +156 -156
package/kit/framework/workflows/pause-work.md +176 -176
package/kit/framework/workflows/plan-milestone-gaps.md +273 -273
package/kit/framework/workflows/plan-phase.md +765 -765
package/kit/framework/workflows/plant-seed.md +169 -169
package/kit/framework/workflows/pr-branch.md +129 -129
package/kit/framework/workflows/profile-user.md +450 -450
package/kit/framework/workflows/progress.md +507 -507
package/kit/framework/workflows/quick.md +757 -757
package/kit/framework/workflows/remove-phase.md +155 -155
package/kit/framework/workflows/remove-workspace.md +90 -90
package/kit/framework/workflows/research-phase.md +82 -82
package/kit/framework/workflows/resume-project.md +326 -326
package/kit/framework/workflows/review.md +228 -228
package/kit/framework/workflows/session-report.md +146 -146
package/kit/framework/workflows/settings.md +283 -283
package/kit/framework/workflows/ship.md +228 -228
package/kit/framework/workflows/stats.md +60 -60
package/kit/framework/workflows/transition.md +671 -671
package/kit/framework/workflows/ui-phase.md +302 -302
package/kit/framework/workflows/ui-review.md +165 -165
package/kit/framework/workflows/update.md +323 -323
package/kit/framework/workflows/validate-phase.md +174 -174
package/kit/framework/workflows/verify-phase.md +252 -252
package/kit/framework/workflows/verify-work.md +637 -637
package/kit/hooks/check-update.js +118 -118
package/kit/hooks/context-monitor.js +163 -163
package/kit/hooks/kit-attribution-reminder.cjs +92 -92
package/kit/hooks/kit-router.cjs +137 -137
package/kit/hooks/prompt-guard.js +103 -103
package/kit/hooks/statusline.js +125 -125
package/kit/hooks/workflow-guard.js +101 -101
package/kit/settings.json +45 -45
package/kit/skills/ai-prompt-characterization/SKILL.md +335 -335
package/kit/skills/armadilhas-sistemas-distribuidos/SKILL.md +447 -447
package/kit/skills/audit-log-multi-tenant/SKILL.md +340 -340
package/kit/skills/b2b-saas-architecture/SKILL.md +300 -300
package/kit/skills/consistencia-leitura-replica/SKILL.md +385 -385
package/kit/skills/crm-lead-pipeline-patterns/SKILL.md +343 -343
package/kit/skills/escolha-modelo-consistencia/SKILL.md +494 -494
package/kit/skills/evolucao-schema-compativel/SKILL.md +448 -448
package/kit/skills/evolution-go-whatsapp-integration/SKILL.md +322 -322
package/kit/skills/example-skill/SKILL.md +42 -42
package/kit/skills/legacy-api-only-applications/SKILL.md +358 -358
package/kit/skills/legacy-characterization-tests/SKILL.md +330 -330
package/kit/skills/legacy-effect-analysis/SKILL.md +331 -331
package/kit/skills/legacy-extract-class/SKILL.md +203 -203
package/kit/skills/legacy-programming-by-difference/SKILL.md +252 -252
package/kit/skills/legacy-seams-and-test-harness/SKILL.md +460 -460
package/kit/skills/legacy-shotgun-surgery/SKILL.md +286 -286
package/kit/skills/legacy-sprout-wrap-techniques/SKILL.md +434 -434
package/kit/skills/legacy-storytelling-naked-crc/SKILL.md +270 -270
package/kit/skills/lgpd-multi-tenant-compliance/SKILL.md +340 -340
package/kit/skills/member-invite-flow/SKILL.md +305 -305
package/kit/skills/member-management-react-shadcn/SKILL.md +328 -328
package/kit/skills/multi-tenant-performance-scaling/SKILL.md +316 -316
package/kit/skills/multi-tenant-rls-hierarchy/SKILL.md +342 -342
package/kit/skills/org-onboarding-flow/SKILL.md +257 -257
package/kit/skills/org-switcher-react-pattern/SKILL.md +349 -349
package/kit/skills/permission-gate-react-pattern/SKILL.md +271 -271
package/kit/skills/postgres-isolamento-concorrencia/SKILL.md +552 -552
package/kit/skills/pre-refactor-characterization/SKILL.md +421 -421
package/kit/skills/rbac-permissions-matrix-supabase/SKILL.md +338 -338
package/kit/skills/streams-eventos-cdc/SKILL.md +711 -711
package/kit/skills/supabase-auth-hardening/SKILL.md +674 -674
package/kit/skills/supabase-auth-hooks/SKILL.md +875 -875
package/kit/skills/supabase-auth-methods/SKILL.md +486 -486
package/kit/skills/supabase-auth-sessions/SKILL.md +579 -579
package/kit/skills/supabase-auth-ssr/SKILL.md +306 -306
package/kit/skills/supabase-branching-workflow/SKILL.md +544 -544
package/kit/skills/supabase-ci-cd-github-actions/SKILL.md +880 -880
package/kit/skills/supabase-column-level-security/SKILL.md +426 -426
package/kit/skills/supabase-config-toml-remotes/SKILL.md +807 -807
package/kit/skills/supabase-custom-claims-rbac/SKILL.md +472 -472
package/kit/skills/supabase-edge-functions/SKILL.md +330 -330
package/kit/skills/supabase-edge-functions-auth/SKILL.md +309 -309
package/kit/skills/supabase-edge-functions-limits/SKILL.md +302 -302
package/kit/skills/supabase-edge-functions-mcp-server/SKILL.md +279 -279
package/kit/skills/supabase-edge-functions-testing/SKILL.md +277 -277
package/kit/skills/supabase-edge-runtime-builtins/SKILL.md +357 -357
package/kit/skills/supabase-enterprise-sso-saml/SKILL.md +545 -545
package/kit/skills/supabase-jwt-signing-keys/SKILL.md +399 -399
package/kit/skills/supabase-mfa/SKILL.md +488 -488
package/kit/skills/supabase-migration-repair/SKILL.md +823 -823
package/kit/skills/supabase-migrations/SKILL.md +297 -297
package/kit/skills/supabase-oauth-server/SKILL.md +537 -537
package/kit/skills/supabase-pgtap-testing/SKILL.md +1053 -1053
package/kit/skills/supabase-postgres-roles/SKILL.md +392 -392
package/kit/skills/supabase-realtime/SKILL.md +460 -460
package/kit/skills/supabase-rls-defense-in-depth/SKILL.md +418 -418
package/kit/skills/supabase-rls-policies/SKILL.md +635 -635
package/kit/skills/supabase-social-oauth/SKILL.md +480 -480
package/kit/skills/supabase-third-party-auth/SKILL.md +450 -450
package/kit/skills/super-admin-platform-pattern/SKILL.md +326 -326
package/kit/skills/tenant-quente-mitigacao/SKILL.md +605 -605
package/kit/skills/ui-anti-padroes-ia/SKILL.md +261 -0
package/kit/skills/ui-contexto-produto/SKILL.md +248 -0
package/kit/skills/ui-cor-estrategia/SKILL.md +213 -0
package/kit/skills/ui-critica-auditoria/SKILL.md +260 -0
package/kit/skills/ui-motion-funcional/SKILL.md +264 -0
package/kit/skills/ui-ritmo-espacial/SKILL.md +259 -0
package/kit/skills/ui-tipografia/SKILL.md +211 -0
package/kit/skills/whatsapp-conversation-state-machine/SKILL.md +287 -287
package/kit/workflows/auditar-observabilidade-cobertura.workflow.js +250 -0
package/package.json +65 -63
package/src/core/kit.js +333 -216
package/src/core/reflect.js +247 -247
package/src/core/registry.js +123 -112
package/src/core/reverse-sync.js +448 -372
package/src/core/sync.js +477 -437
package/src/core/watch.js +121 -121
package/src/mcp-server/index.js +794 -794

package/kit/skills/supabase-auth-hardening/SKILL.md CHANGED Viewed

@@ -1,674 +1,674 @@
----
-name: supabase-auth-hardening
-description: Use ao configurar SMTP customizado, templates de email, redirect URLs, rate limits, CAPTCHA, segurança de senha e audit logs de autenticação no Supabase.
----
-# Supabase — Hardening de Autenticação (Config, SMTP, Rate Limits, CAPTCHA)
-## Quando usar
-LLM carrega esta skill quando o projeto precisar **endurecer a segurança de autenticação** do Supabase — configurando SMTP para produção, protegendo contra bots e abuso, gerenciando email templates, redirect URLs seguras ou habilitando proteção de senhas.
-Trigger phrases:
-- "custom SMTP Supabase", "email template Supabase"
-- "redirect URLs Supabase", "rate limit auth"
-- "CAPTCHA Supabase", "hCaptcha", "Turnstile"
-- "password security Supabase", "leaked password protection"
-- "auth audit logs", "signup abuse Supabase"
-- "email prefetching problema", "OTP email Supabase"
-## Princípio canônico
-Auth hardening em Supabase tem **4 camadas complementares**:
-1. **Config básica** — controlar quem pode se registrar, confirmar email, sessões anônimas
-2. **SMTP + email templates** — garantir entregabilidade e segurança dos emails de auth
-3. **Rate limits + CAPTCHA** — proteger contra abuso automatizado e bots
-4. **Password security + audit** — senhas fortes, proteção contra vazamentos, rastreabilidade
-Nenhuma camada substitui as outras — produção exige todas as quatro.
-## Config geral de autenticação
-### Via Dashboard
-`Authentication > Providers > Email`
-### Via `config.toml`
-```toml
-[auth]
-# Permitir ou bloquear novos registros (false = apenas usuários existentes)
-enable_signup = true
-# Exigir confirmação de email antes de liberar acesso
-double_confirm_email_change = true
-# Sessões anônimas (usuários sem login — útil para carrinhos, rascunhos)
-enable_anonymous_sign_ins = false
-# Permitir que usuários vinculem múltiplos provedores de auth manualmente
-enable_manual_linking = false
-# Expiração do access token (padrão: 3600 = 1h)
-jwt_expiry = 3600
-# Refresh token não expira automaticamente
-enable_refresh_token_rotation = true
-refresh_token_reuse_interval = 10   # janela de reuso em segundos (graceful)
-```
-### Configurações recomendadas por ambiente
-| Config | Desenvolvimento | Produção |
-|--------|----------------|---------|
-| `enable_signup` | `true` | Depende do modelo (invite-only = `false`) |
-| `double_confirm_email_change` | `false` | `true` |
-| `enable_anonymous_sign_ins` | `true` | Conforme necessidade |
-| `enable_refresh_token_rotation` | `true` | `true` (obrigatório) |
-## Email Templates
-### Tipos de templates
-**Emails de autenticação** (enviados via SMTP configurado):
-- `confirm_signup` — confirmação de email no cadastro
-- `invite` — convite de usuário por admin
-- `magic_link` — link mágico de login
-- `change_email_address` — confirmação de troca de email
-- `reset_password` — redefinição de senha
-**Emails de notificação de segurança** (sempre enviados, não customizáveis via template):
-- Alertas de login de novo dispositivo
-- Notificações de MFA configurado/removido
-### Variáveis disponíveis nos templates
-| Variável | Descrição |
-|----------|-----------|
-| `{{ .ConfirmationURL }}` | URL completa de confirmação (inclui token) |
-| `{{ .Token }}` | OTP de 6 dígitos (para fluxo OTP, evita prefetching) |
-| `{{ .TokenHash }}` | Hash do token (fluxo PKCE — não expõe token direto) |
-| `{{ .SiteURL }}` | URL base do site (configurada em Auth settings) |
-| `{{ .RedirectTo }}` | URL de redirect passada pelo cliente |
-| `{{ .Email }}` | Email do usuário |
-| `{{ .NewEmail }}` | Novo email (para change_email_address) |
-| `{{ .Data }}` | Metadados adicionais (objeto JSON) |
-### Problema crítico: Email Prefetching
-Alguns serviços de email corporativos (Outlook, Exchange, scanners de segurança) **acessam automaticamente links nos emails** para verificar malware — consumindo o token de confirmação antes do usuário clicar.
-**Errado (vulnerável a prefetching):**
-```html
-<!-- Template padrão com link direto -->
-<p>Confirme seu cadastro:</p>
-<a href="{{ .ConfirmationURL }}">Confirmar email</a>
-<!-- Scanner consome o link antes do usuário → usuário vê "link expirado" -->
-```
-**Solução A — OTP (recomendado para flows sensíveis):**
-```html
-<!-- Template com OTP de 6 dígitos — scanner não "usa" um número -->
-<p>Seu código de confirmação: <strong>{{ .Token }}</strong></p>
-<p>Digite este código na tela de confirmação do aplicativo.</p>
-```
-```ts
-// Frontend — verificar OTP
-const { data, error } = await supabase.auth.verifyOtp({
-  email: userEmail,
-  token: otpDigitado,    // código 6 dígitos do email
-  type: 'signup',        // 'signup' | 'magiclink' | 'recovery' | 'email_change'
-})
-```
-**Solução B — Link customizado com token_hash (PKCE flow):**
-```html
-<!-- Token hash não é o token real — scanner não consegue usar -->
-<a href="{{ .SiteURL }}/confirm?token_hash={{ .TokenHash }}&type=signup&next={{ .RedirectTo }}">
-  Confirmar email
-</a>
-```
-```ts
-// Rota /confirm — trocar token_hash pelo token real
-export async function GET(request: Request) {
-  const url = new URL(request.url)
-  const tokenHash = url.searchParams.get('token_hash')
-  const type = url.searchParams.get('type') as any
-  if (tokenHash && type) {
-    const { error } = await supabase.auth.verifyOtp({ token_hash: tokenHash, type })
-    if (!error) redirect(url.searchParams.get('next') ?? '/')
-  }
-  redirect('/auth/error?message=link-invalido')
-}
-```
-### Customizar templates com Go Templates
-Templates suportam sintaxe Go Template para lógica condicional:
-```html
-{{ if eq .Data.plan "enterprise" }}
-  <p>Bem-vindo ao plano Enterprise! Seu gerente de conta entrará em contato.</p>
-{{ else }}
-  <p>Bem-vindo! Comece sua avaliação gratuita de 14 dias.</p>
-{{ end }}
-<p>Confirme seu email:</p>
-<a href="{{ .ConfirmationURL }}">Confirmar</a>
-```
-### Management API para templates
-```ts
-// Atualizar template via API (service_role)
-const { error } = await supabaseAdmin.from('_supabase_auth_templates').upsert({
-  template_type: 'confirm_signup',
-  subject: 'Confirme seu cadastro em {{ .SiteURL }}',
-  content: '<html>...</html>',
-})
-```
-## Custom SMTP
-### Por que SMTP customizado é obrigatório em produção
-O SMTP padrão do Supabase:
-- **Só envia para endereços da equipe do projeto** — não envia para usuários externos
-- **Rate limit muito baixo** — inadequado para produção
-- **Não customizável** — domínio `noreply@mail.supabase.io`, sem DKIM/DMARC
-**Provedores recomendados por caso de uso:**
-| Provedor | Melhor para |
-|----------|------------|
-| Resend | DX moderno, APIs React Email |
-| AWS SES | Escala, custo baixo, ecossistema AWS |
-| Postmark | Alta entregabilidade transacional |
-| SendGrid | Volume alto, analytics |
-| Mailgun | Europeu, GDPR |
-### Configurar via `config.toml`
-```toml
-[auth.email.smtp]
-enabled = true
-host = "smtp.resend.com"
-port = 465
-user = "resend"
-pass = "env(SMTP_PASSWORD)"     # env var — nunca valor direto em config.toml
-admin_email = "noreply@meuapp.com"
-sender_name = "Meu App"
-```
-### Configurar via Dashboard
-`Authentication > Providers > Email > Custom SMTP` → preencher host, port, user, password.
-### Checklist de configuração de email
-```
-☐ SPF record — "v=spf1 include:_spf.resend.com ~all"
-☐ DKIM record — chave pública no DNS (obtida no provedor)
-☐ DMARC policy — "v=DMARC1; p=quarantine; rua=mailto:dmarc@meuapp.com"
-☐ Domínio de envio verificado no provedor
-☐ Endereço de reply-to configurado
-☐ Emails de auth separados dos emails de marketing (subdomínios diferentes)
-☐ Testar entregabilidade com mail-tester.com
-```
-### Separar emails de auth dos de marketing
-**Problema:** usar o mesmo domínio/IP para emails transacionais (auth) e marketing (newsletters) faz com que reclamações de spam do marketing afetem a entregabilidade de emails de auth.
-**Certo:** usar subdomínio dedicado para auth:
-- Auth: `noreply@auth.meuapp.com` (subdomínio `auth.`)
-- Marketing: `news@meuapp.com` (domínio principal)
-### Mitigação de abuso de SMTP
-```toml
-[auth.email]
-# Rate limit de emails por hora por IP
-max_frequency = "1m"    # mínimo 1 minuto entre emails para o mesmo endereço
-```
-Combinado com CAPTCHA (ver abaixo) e rate limits de endpoint.
-## Redirect URLs
-### Site URL
-A Site URL é o redirect padrão quando nenhum `redirectTo` é especificado:
-```toml
-[auth]
-site_url = "https://meuapp.com"    # PRODUÇÃO — nunca deixar como localhost
-# site_url = "http://localhost:3000"  # só em desenvolvimento local
-```
-**Erro crítico:** Site URL apontando para `localhost` em produção — usuários são redirecionados para localhost após login/confirmação.
-### Allowlist de URLs
-```toml
-[auth]
-additional_redirect_urls = [
-  "https://meuapp.com",
-  "https://app.meuapp.com",
-  "https://meuapp.vercel.app",
-]
-```
-### Wildcards em redirect URLs
-| Wildcard | Comportamento |
-|----------|--------------|
-| `*` | Qualquer string sem `/` (mesmo segmento) |
-| `**` | Qualquer string incluindo `/` (multi-segmento) |
-| `?` | Um único caractere |
-```toml
-additional_redirect_urls = [
-  # URLs de preview do Vercel (branch deploys)
-  "https://meuapp-*.vercel.app",       # * cobre apenas um segmento
-  "https://meuapp-git-*.vercel.app/**", # ** cobre qualquer path após
-  # Netlify
-  "https://*--meuapp.netlify.app",
-  # Mobile deep links
-  "meuapp://auth/callback",
-]
-```
-**Atenção com wildcards:** wildcards muito amplos (ex: `https://*`) são vetores de open redirect. Ser específico ao máximo — usar o domínio base como prefixo do wildcard.
-### Passando `redirectTo` no código
-```ts
-// Signup com redirect customizado
-const { error } = await supabase.auth.signUp({
-  email: 'user@exemplo.com',
-  password: 'senha123',
-  options: {
-    emailRedirectTo: 'https://meuapp.com/onboarding',  // deve estar na allowlist
-  },
-})
-// Magic link com redirect customizado
-const { error } = await supabase.auth.signInWithOtp({
-  email: 'user@exemplo.com',
-  options: {
-    emailRedirectTo: 'https://meuapp.com/dashboard',
-  },
-})
-```
-## Rate Limits
-### Algoritmo Token Bucket
-Supabase usa token bucket para rate limiting de auth:
-```
-Capacidade: N tokens
-Reabastecimento: K tokens por período
-Request consome 1 token
-Quando tokens = 0: requisição rejeitada com 429
-```
-### Limites padrão por endpoint
-| Endpoint | Limite padrão | Customizável |
-|----------|--------------|--------------|
-| `/auth/v1/signup` | 30/hora por IP | Sim (Pro+) |
-| `/auth/v1/token` (signIn) | 30/hora por IP | Sim (Pro+) |
-| `/auth/v1/otp` (magic link) | 30/hora por IP | Sim (Pro+) |
-| `/auth/v1/recover` (reset password) | 30/hora por IP | Sim (Pro+) |
-| `/auth/v1/user` | 30/hora por IP | Sim (Pro+) |
-| `/auth/v1/resend` | 3/hora por email | Não |
-### IP Forwarding com `Sb-Forwarded-For`
-Em deployments atrás de proxy/load balancer, o IP real do cliente pode ser mascarado. Use o header `Sb-Forwarded-For` para informar o IP real ao Supabase:
-```ts
-// Edge Function ou backend — repassar IP real para rate limiting
-const response = await fetch(`${SUPABASE_URL}/auth/v1/signup`, {
-  method: 'POST',
-  headers: {
-    'Content-Type': 'application/json',
-    'apikey': SUPABASE_ANON_KEY,
-    'Sb-Forwarded-For': request.headers.get('x-forwarded-for') ?? '',
-    // ATENÇÃO: 'Sb-Forwarded-For' só é respeitado com service_role key
-    'Authorization': `Bearer ${SUPABASE_SERVICE_ROLE_KEY}`,
-  },
-  body: JSON.stringify({ email, password }),
-})
-```
-**Requisito de segurança:** o header `Sb-Forwarded-For` é aceito apenas quando a requisição usa `service_role` key. Com `anon` key, o header é ignorado (prevenção de spoofing).
-## CAPTCHA
-### Provedores suportados
-| Provedor | Tipo | Privacy |
-|----------|------|---------|
-| **hCaptcha** | Challenges visuais | Maior privacidade |
-| **Cloudflare Turnstile** | Invisível (comportamental) | Privacy-first |
-### Habilitar via Dashboard
-`Authentication > Security > CAPTCHA protection` → Selecionar provedor → Colar Site Key.
-### Habilitar via `config.toml`
-```toml
-[auth.captcha]
-enabled = true
-provider = "turnstile"  # ou "hcaptcha"
-secret = "env(CAPTCHA_SECRET_KEY)"
-```
-### Componente frontend (React)
-```tsx
-// components/AuthForm.tsx — com Turnstile
-import { Turnstile } from '@marsidev/react-turnstile'
-export function SignUpForm() {
-  const [captchaToken, setCaptchaToken] = useState<string>('')
-  const supabase = createClient()
-  async function handleSubmit(e: React.FormEvent<HTMLFormElement>) {
-    e.preventDefault()
-    const formData = new FormData(e.currentTarget)
-    const { error } = await supabase.auth.signUp({
-      email: formData.get('email') as string,
-      password: formData.get('password') as string,
-      options: {
-        captchaToken,   // token obtido do widget
-      },
-    })
-    if (error) console.error(error.message)
-  }
-  return (
-    <form onSubmit={handleSubmit}>
-      <input name="email" type="email" required />
-      <input name="password" type="password" required />
-      <Turnstile
-        siteKey={process.env.NEXT_PUBLIC_TURNSTILE_SITE_KEY!}
-        onSuccess={setCaptchaToken}
-        onExpire={() => setCaptchaToken('')}
-      />
-      <button type="submit" disabled={!captchaToken}>Criar conta</button>
-    </form>
-  )
-}
-```
-### CAPTCHA em outros endpoints
-```ts
-// Magic link com CAPTCHA
-const { error } = await supabase.auth.signInWithOtp({
-  email,
-  options: { captchaToken },
-})
-// Reset de senha com CAPTCHA
-const { error } = await supabase.auth.resetPasswordForEmail(email, {
-  captchaToken,
-  redirectTo: 'https://meuapp.com/reset',
-})
-```
-### hCaptcha — Alternativa com maior privacidade
-```tsx
-import HCaptcha from '@hcaptcha/react-hcaptcha'
-function SignInForm() {
-  const captchaRef = useRef<HCaptcha>(null)
-  const [captchaToken, setCaptchaToken] = useState<string>('')
-  return (
-    <form>
-      <HCaptcha
-        sitekey={process.env.NEXT_PUBLIC_HCAPTCHA_SITE_KEY!}
-        ref={captchaRef}
-        onVerify={setCaptchaToken}
-        onExpire={() => setCaptchaToken('')}
-      />
-      <button type="submit" disabled={!captchaToken}>Entrar</button>
-    </form>
-  )
-}
-```
-## Password Security
-### Configurar políticas de senha
-```toml
-[auth.password]
-# Comprimento mínimo (padrão: 6, recomendado: 12+)
-min_length = 12
-# Exigir caracteres específicos
-require_uppercase = true     # pelo menos 1 maiúscula
-require_lowercase = true     # pelo menos 1 minúscula
-require_numbers = true       # pelo menos 1 número
-require_special_characters = true  # pelo menos 1 especial
-# Proteção contra senhas vazadas (HaveIBeenPwned) — Pro+
-check_breached_passwords = true
-```
-### Leaked Password Protection (HaveIBeenPwned)
-```toml
-[auth.password]
-check_breached_passwords = true   # rejeita senhas em listas de vazamento conhecidas
-```
-Como funciona: a senha é verificada via k-Anonymity contra a API HaveIBeenPwned — apenas os 5 primeiros caracteres do hash SHA-1 são enviados (a senha nunca sai do ambiente).
-### Exigir reautenticação antes de trocar senha
-```ts
-// 1. Solicitar verificação de identidade (envia email/SMS)
-const { error } = await supabase.auth.reauthenticate()
-// 2. Verificar código recebido
-const { error } = await supabase.auth.verifyOtp({
-  email: userEmail,
-  token: codigoDigitado,
-  type: 'reauthentication',
-})
-// 3. Após verificação, atualizar senha
-const { error } = await supabase.auth.updateUser({
-  password: novaSenha,
-})
-```
-### Exigir senha atual ao trocar senha
-```ts
-// Passar a senha atual junto da nova senha para garantir autenticidade
-const { error } = await supabase.auth.updateUser({
-  password: novaSenha,
-  // current_password evita ataques de session fixation
-  // (disponível em versões recentes do @supabase/supabase-js)
-})
-```
-## Audit Logs
-### Tabela `auth.audit_log_entries`
-```sql
--- Ver últimas ações de auth
-select
-  created_at,
-  payload->>'action' as action,
-  payload->>'actor_id' as user_id,
-  payload->>'actor_username' as email,
-  payload->>'ip_address' as ip,
-  payload->>'traits' as traits
-from auth.audit_log_entries
-order by created_at desc
-limit 100;
--- Filtrar por tipo de ação
-select *
-from auth.audit_log_entries
-where payload->>'action' = 'login'
-  and created_at > now() - interval '24 hours';
-```
-### Ações registradas
-| Ação | Descrição |
-|------|-----------|
-| `login` | Login bem-sucedido |
-| `logout` | Logout |
-| `signup` | Novo cadastro |
-| `token_refreshed` | Refresh de access token |
-| `password_recovery` | Pedido de reset de senha |
-| `user_modified` | Dados do usuário atualizados |
-| `user_deleted` | Conta deletada |
-| `mfa_challenge_verified` | Desafio MFA verificado |
-| `invite` | Usuário convidado por admin |
-### Armazenamento externo de audit logs
-Por padrão, logs ficam no Postgres do projeto (tabela `auth.audit_log_entries`). Para retenção de longo prazo ou compliance (LGPD, SOC 2):
-```ts
-// Edge Function — exportar audit logs para armazenamento externo
-// supabase/functions/export-audit-logs/index.ts
-import { createClient } from '@supabase/supabase-js'
-Deno.serve(async () => {
-  const supabase = createClient(
-    Deno.env.get('SUPABASE_URL')!,
-    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!
-  )
-  const since = new Date(Date.now() - 60 * 60 * 1000).toISOString() // última hora
-  const { data: logs } = await supabase
-    .from('auth.audit_log_entries')
-    .select('*')
-    .gt('created_at', since)
-    .order('created_at')
-  if (logs?.length) {
-    // Enviar para S3, Datadog, Elastic, etc.
-    await fetch(Deno.env.get('LOG_EXPORT_URL')!, {
-      method: 'POST',
-      headers: { 'Content-Type': 'application/json' },
-      body: JSON.stringify({ logs }),
-    })
-  }
-  return new Response('ok')
-})
-```
-### Desabilitar armazenamento no Postgres (se usar externo)
-```toml
-[auth]
-# Desabilita inserção em auth.audit_log_entries (ainda envia para hooks)
-enable_audit_log = false
-```
-## Regras absolutas
-1. **Produção exige SMTP custom** — o SMTP padrão do Supabase só envia para membros da equipe do projeto; sem SMTP custom, usuários não recebem emails de confirmação/reset
-2. **Habilitar CAPTCHA contra abuso de signup por bots** — signups automatizados consomem cota de email e poluem a base de usuários; Turnstile invisível tem menor atrito
-3. **Habilitar leaked password protection** — HaveIBeenPwned k-Anonymity não expõe a senha; rejeita 99%+ das senhas mais comuns em vazamentos
-4. **Site URL deve ser a URL de produção, não localhost** — usuários redirecionados para localhost perdem o fluxo de auth; verificar antes do deploy
-5. **URLs de preview precisam de entradas na allowlist** — Vercel e Netlify geram URLs dinâmicas por branch; usar wildcard específico com domínio base
-6. **Separar emails de auth dos emails de marketing** — usar subdomínio dedicado para auth; reclamações de spam do marketing não devem afetar entregabilidade transacional
-## Anti-patterns
-### Anti-pattern 1: SMTP padrão em produção
-**Errado:**
-```toml
-# config.toml sem configuração de SMTP
-# "vai funcionar no dashboard.supabase.com" — ERRADO para usuários reais
-```
-**Por quê:** o SMTP built-in do Supabase é exclusivo para desenvolvimento e testes — emails para endereços fora da equipe do projeto são silenciosamente descartados. Usuários em produção não recebem emails de confirmação ou reset de senha.
-**Certo:** configurar SMTP custom (Resend, SES, Postmark) com domínio verificado, DKIM e DMARC antes de ir para produção.
-### Anti-pattern 2: Site URL apontando para localhost
-**Errado:**
-```toml
-[auth]
-site_url = "http://localhost:3000"  # copiado do .env de dev → esquecido em produção
-```
-**Por quê:** após clicar no link de confirmação de email ou reset de senha, o usuário é redirecionado para `localhost:3000` — que não existe em produção. Fluxo de auth quebrado para todos os usuários.
-**Certo:** `site_url` em staging/produção sempre aponta para a URL real; usar variável de ambiente ou CI/CD para garantir que o valor correto seja aplicado por ambiente.
-### Anti-pattern 3: Signup sem CAPTCHA
-**Errado:**
-```ts
-// Signup direto sem proteção
-const { error } = await supabase.auth.signUp({ email, password })
-```
-**Por quê:** sem CAPTCHA, qualquer script pode criar milhares de contas automaticamente — consumindo cota de email SMTP, poluindo a base de usuários, e potencialmente causando custos inesperados.
-**Certo:** habilitar Turnstile (invisível, menos atrito) ou hCaptcha; passar `captchaToken` no `signUp()`.
-### Anti-pattern 4: Misturar emails de auth e marketing
-**Errado:**
-```
-Domínio: meuapp.com
-Auth emails: noreply@meuapp.com (mesmo domínio/IP)
-Marketing: newsletter@meuapp.com (mesmo domínio/IP)
-```
-**Por quê:** alta taxa de unsubscribe ou reclamações de spam nas newsletters degrada a reputação do domínio/IP → emails de auth (confirmação, reset de senha) também caem no spam ou são bloqueados.
-**Certo:**
-```
-Auth: noreply@auth.meuapp.com (subdomínio dedicado, IP separado)
-Marketing: news@meuapp.com (domínio principal)
-```
-Reputações de email são por domínio/IP; subdominios permitem isolamento.
-## Ver também
-- [supabase-auth-methods](../supabase-auth-methods/SKILL.md) — panorama de métodos de auth (email, magic link, OAuth social)
-- [supabase-social-oauth](../supabase-social-oauth/SKILL.md) — OAuth social (Google, GitHub, etc.)
-- [supabase-auth-hooks](../supabase-auth-hooks/SKILL.md) — hooks de autenticação (before/after events)
-- [supabase-mfa](../supabase-mfa/SKILL.md) — Multi-Factor Authentication (TOTP, SMS)
-- [supabase-auth-bootstrapper](../../agents/supabase-auth-bootstrapper.md) — agente que configura auth completo desde o início
-- [supabase-auth-ssr](../supabase-auth-ssr/SKILL.md) — @supabase/ssr para Next.js
+---
+name: supabase-auth-hardening
+description: Use ao configurar SMTP customizado, templates de email, redirect URLs, rate limits, CAPTCHA, segurança de senha e audit logs de autenticação no Supabase.
+---
+# Supabase — Hardening de Autenticação (Config, SMTP, Rate Limits, CAPTCHA)
+## Quando usar
+LLM carrega esta skill quando o projeto precisar **endurecer a segurança de autenticação** do Supabase — configurando SMTP para produção, protegendo contra bots e abuso, gerenciando email templates, redirect URLs seguras ou habilitando proteção de senhas.
+Trigger phrases:
+- "custom SMTP Supabase", "email template Supabase"
+- "redirect URLs Supabase", "rate limit auth"
+- "CAPTCHA Supabase", "hCaptcha", "Turnstile"
+- "password security Supabase", "leaked password protection"
+- "auth audit logs", "signup abuse Supabase"
+- "email prefetching problema", "OTP email Supabase"
+## Princípio canônico
+Auth hardening em Supabase tem **4 camadas complementares**:
+1. **Config básica** — controlar quem pode se registrar, confirmar email, sessões anônimas
+2. **SMTP + email templates** — garantir entregabilidade e segurança dos emails de auth
+3. **Rate limits + CAPTCHA** — proteger contra abuso automatizado e bots
+4. **Password security + audit** — senhas fortes, proteção contra vazamentos, rastreabilidade
+Nenhuma camada substitui as outras — produção exige todas as quatro.
+## Config geral de autenticação
+### Via Dashboard
+`Authentication > Providers > Email`
+### Via `config.toml`
+```toml
+[auth]
+# Permitir ou bloquear novos registros (false = apenas usuários existentes)
+enable_signup = true
+# Exigir confirmação de email antes de liberar acesso
+double_confirm_email_change = true
+# Sessões anônimas (usuários sem login — útil para carrinhos, rascunhos)
+enable_anonymous_sign_ins = false
+# Permitir que usuários vinculem múltiplos provedores de auth manualmente
+enable_manual_linking = false
+# Expiração do access token (padrão: 3600 = 1h)
+jwt_expiry = 3600
+# Refresh token não expira automaticamente
+enable_refresh_token_rotation = true
+refresh_token_reuse_interval = 10   # janela de reuso em segundos (graceful)
+```
+### Configurações recomendadas por ambiente
+| Config | Desenvolvimento | Produção |
+|--------|----------------|---------|
+| `enable_signup` | `true` | Depende do modelo (invite-only = `false`) |
+| `double_confirm_email_change` | `false` | `true` |
+| `enable_anonymous_sign_ins` | `true` | Conforme necessidade |
+| `enable_refresh_token_rotation` | `true` | `true` (obrigatório) |
+## Email Templates
+### Tipos de templates
+**Emails de autenticação** (enviados via SMTP configurado):
+- `confirm_signup` — confirmação de email no cadastro
+- `invite` — convite de usuário por admin
+- `magic_link` — link mágico de login
+- `change_email_address` — confirmação de troca de email
+- `reset_password` — redefinição de senha
+**Emails de notificação de segurança** (sempre enviados, não customizáveis via template):
+- Alertas de login de novo dispositivo
+- Notificações de MFA configurado/removido
+### Variáveis disponíveis nos templates
+| Variável | Descrição |
+|----------|-----------|
+| `{{ .ConfirmationURL }}` | URL completa de confirmação (inclui token) |
+| `{{ .Token }}` | OTP de 6 dígitos (para fluxo OTP, evita prefetching) |
+| `{{ .TokenHash }}` | Hash do token (fluxo PKCE — não expõe token direto) |
+| `{{ .SiteURL }}` | URL base do site (configurada em Auth settings) |
+| `{{ .RedirectTo }}` | URL de redirect passada pelo cliente |
+| `{{ .Email }}` | Email do usuário |
+| `{{ .NewEmail }}` | Novo email (para change_email_address) |
+| `{{ .Data }}` | Metadados adicionais (objeto JSON) |
+### Problema crítico: Email Prefetching
+Alguns serviços de email corporativos (Outlook, Exchange, scanners de segurança) **acessam automaticamente links nos emails** para verificar malware — consumindo o token de confirmação antes do usuário clicar.
+**Errado (vulnerável a prefetching):**
+```html
+<!-- Template padrão com link direto -->
+<p>Confirme seu cadastro:</p>
+<a href="{{ .ConfirmationURL }}">Confirmar email</a>
+<!-- Scanner consome o link antes do usuário → usuário vê "link expirado" -->
+```
+**Solução A — OTP (recomendado para flows sensíveis):**
+```html
+<!-- Template com OTP de 6 dígitos — scanner não "usa" um número -->
+<p>Seu código de confirmação: <strong>{{ .Token }}</strong></p>
+<p>Digite este código na tela de confirmação do aplicativo.</p>
+```
+```ts
+// Frontend — verificar OTP
+const { data, error } = await supabase.auth.verifyOtp({
+  email: userEmail,
+  token: otpDigitado,    // código 6 dígitos do email
+  type: 'signup',        // 'signup' | 'magiclink' | 'recovery' | 'email_change'
+})
+```
+**Solução B — Link customizado com token_hash (PKCE flow):**
+```html
+<!-- Token hash não é o token real — scanner não consegue usar -->
+<a href="{{ .SiteURL }}/confirm?token_hash={{ .TokenHash }}&type=signup&next={{ .RedirectTo }}">
+  Confirmar email
+</a>
+```
+```ts
+// Rota /confirm — trocar token_hash pelo token real
+export async function GET(request: Request) {
+  const url = new URL(request.url)
+  const tokenHash = url.searchParams.get('token_hash')
+  const type = url.searchParams.get('type') as any
+  if (tokenHash && type) {
+    const { error } = await supabase.auth.verifyOtp({ token_hash: tokenHash, type })
+    if (!error) redirect(url.searchParams.get('next') ?? '/')
+  }
+  redirect('/auth/error?message=link-invalido')
+}
+```
+### Customizar templates com Go Templates
+Templates suportam sintaxe Go Template para lógica condicional:
+```html
+{{ if eq .Data.plan "enterprise" }}
+  <p>Bem-vindo ao plano Enterprise! Seu gerente de conta entrará em contato.</p>
+{{ else }}
+  <p>Bem-vindo! Comece sua avaliação gratuita de 14 dias.</p>
+{{ end }}
+<p>Confirme seu email:</p>
+<a href="{{ .ConfirmationURL }}">Confirmar</a>
+```
+### Management API para templates
+```ts
+// Atualizar template via API (service_role)
+const { error } = await supabaseAdmin.from('_supabase_auth_templates').upsert({
+  template_type: 'confirm_signup',
+  subject: 'Confirme seu cadastro em {{ .SiteURL }}',
+  content: '<html>...</html>',
+})
+```
+## Custom SMTP
+### Por que SMTP customizado é obrigatório em produção
+O SMTP padrão do Supabase:
+- **Só envia para endereços da equipe do projeto** — não envia para usuários externos
+- **Rate limit muito baixo** — inadequado para produção
+- **Não customizável** — domínio `noreply@mail.supabase.io`, sem DKIM/DMARC
+**Provedores recomendados por caso de uso:**
+| Provedor | Melhor para |
+|----------|------------|
+| Resend | DX moderno, APIs React Email |
+| AWS SES | Escala, custo baixo, ecossistema AWS |
+| Postmark | Alta entregabilidade transacional |
+| SendGrid | Volume alto, analytics |
+| Mailgun | Europeu, GDPR |
+### Configurar via `config.toml`
+```toml
+[auth.email.smtp]
+enabled = true
+host = "smtp.resend.com"
+port = 465
+user = "resend"
+pass = "env(SMTP_PASSWORD)"     # env var — nunca valor direto em config.toml
+admin_email = "noreply@meuapp.com"
+sender_name = "Meu App"
+```
+### Configurar via Dashboard
+`Authentication > Providers > Email > Custom SMTP` → preencher host, port, user, password.
+### Checklist de configuração de email
+```
+☐ SPF record — "v=spf1 include:_spf.resend.com ~all"
+☐ DKIM record — chave pública no DNS (obtida no provedor)
+☐ DMARC policy — "v=DMARC1; p=quarantine; rua=mailto:dmarc@meuapp.com"
+☐ Domínio de envio verificado no provedor
+☐ Endereço de reply-to configurado
+☐ Emails de auth separados dos emails de marketing (subdomínios diferentes)
+☐ Testar entregabilidade com mail-tester.com
+```
+### Separar emails de auth dos de marketing
+**Problema:** usar o mesmo domínio/IP para emails transacionais (auth) e marketing (newsletters) faz com que reclamações de spam do marketing afetem a entregabilidade de emails de auth.
+**Certo:** usar subdomínio dedicado para auth:
+- Auth: `noreply@auth.meuapp.com` (subdomínio `auth.`)
+- Marketing: `news@meuapp.com` (domínio principal)
+### Mitigação de abuso de SMTP
+```toml
+[auth.email]
+# Rate limit de emails por hora por IP
+max_frequency = "1m"    # mínimo 1 minuto entre emails para o mesmo endereço
+```
+Combinado com CAPTCHA (ver abaixo) e rate limits de endpoint.
+## Redirect URLs
+### Site URL
+A Site URL é o redirect padrão quando nenhum `redirectTo` é especificado:
+```toml
+[auth]
+site_url = "https://meuapp.com"    # PRODUÇÃO — nunca deixar como localhost
+# site_url = "http://localhost:3000"  # só em desenvolvimento local
+```
+**Erro crítico:** Site URL apontando para `localhost` em produção — usuários são redirecionados para localhost após login/confirmação.
+### Allowlist de URLs
+```toml
+[auth]
+additional_redirect_urls = [
+  "https://meuapp.com",
+  "https://app.meuapp.com",
+  "https://meuapp.vercel.app",
+]
+```
+### Wildcards em redirect URLs
+| Wildcard | Comportamento |
+|----------|--------------|
+| `*` | Qualquer string sem `/` (mesmo segmento) |
+| `**` | Qualquer string incluindo `/` (multi-segmento) |
+| `?` | Um único caractere |
+```toml
+additional_redirect_urls = [
+  # URLs de preview do Vercel (branch deploys)
+  "https://meuapp-*.vercel.app",       # * cobre apenas um segmento
+  "https://meuapp-git-*.vercel.app/**", # ** cobre qualquer path após
+  # Netlify
+  "https://*--meuapp.netlify.app",
+  # Mobile deep links
+  "meuapp://auth/callback",
+]
+```
+**Atenção com wildcards:** wildcards muito amplos (ex: `https://*`) são vetores de open redirect. Ser específico ao máximo — usar o domínio base como prefixo do wildcard.
+### Passando `redirectTo` no código
+```ts
+// Signup com redirect customizado
+const { error } = await supabase.auth.signUp({
+  email: 'user@exemplo.com',
+  password: 'senha123',
+  options: {
+    emailRedirectTo: 'https://meuapp.com/onboarding',  // deve estar na allowlist
+  },
+})
+// Magic link com redirect customizado
+const { error } = await supabase.auth.signInWithOtp({
+  email: 'user@exemplo.com',
+  options: {
+    emailRedirectTo: 'https://meuapp.com/dashboard',
+  },
+})
+```
+## Rate Limits
+### Algoritmo Token Bucket
+Supabase usa token bucket para rate limiting de auth:
+```
+Capacidade: N tokens
+Reabastecimento: K tokens por período
+Request consome 1 token
+Quando tokens = 0: requisição rejeitada com 429
+```
+### Limites padrão por endpoint
+| Endpoint | Limite padrão | Customizável |
+|----------|--------------|--------------|
+| `/auth/v1/signup` | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/token` (signIn) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/otp` (magic link) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/recover` (reset password) | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/user` | 30/hora por IP | Sim (Pro+) |
+| `/auth/v1/resend` | 3/hora por email | Não |
+### IP Forwarding com `Sb-Forwarded-For`
+Em deployments atrás de proxy/load balancer, o IP real do cliente pode ser mascarado. Use o header `Sb-Forwarded-For` para informar o IP real ao Supabase:
+```ts
+// Edge Function ou backend — repassar IP real para rate limiting
+const response = await fetch(`${SUPABASE_URL}/auth/v1/signup`, {
+  method: 'POST',
+  headers: {
+    'Content-Type': 'application/json',
+    'apikey': SUPABASE_ANON_KEY,
+    'Sb-Forwarded-For': request.headers.get('x-forwarded-for') ?? '',
+    // ATENÇÃO: 'Sb-Forwarded-For' só é respeitado com service_role key
+    'Authorization': `Bearer ${SUPABASE_SERVICE_ROLE_KEY}`,
+  },
+  body: JSON.stringify({ email, password }),
+})
+```
+**Requisito de segurança:** o header `Sb-Forwarded-For` é aceito apenas quando a requisição usa `service_role` key. Com `anon` key, o header é ignorado (prevenção de spoofing).
+## CAPTCHA
+### Provedores suportados
+| Provedor | Tipo | Privacy |
+|----------|------|---------|
+| **hCaptcha** | Challenges visuais | Maior privacidade |
+| **Cloudflare Turnstile** | Invisível (comportamental) | Privacy-first |
+### Habilitar via Dashboard
+`Authentication > Security > CAPTCHA protection` → Selecionar provedor → Colar Site Key.
+### Habilitar via `config.toml`
+```toml
+[auth.captcha]
+enabled = true
+provider = "turnstile"  # ou "hcaptcha"
+secret = "env(CAPTCHA_SECRET_KEY)"
+```
+### Componente frontend (React)
+```tsx
+// components/AuthForm.tsx — com Turnstile
+import { Turnstile } from '@marsidev/react-turnstile'
+export function SignUpForm() {
+  const [captchaToken, setCaptchaToken] = useState<string>('')
+  const supabase = createClient()
+  async function handleSubmit(e: React.FormEvent<HTMLFormElement>) {
+    e.preventDefault()
+    const formData = new FormData(e.currentTarget)
+    const { error } = await supabase.auth.signUp({
+      email: formData.get('email') as string,
+      password: formData.get('password') as string,
+      options: {
+        captchaToken,   // token obtido do widget
+      },
+    })
+    if (error) console.error(error.message)
+  }
+  return (
+    <form onSubmit={handleSubmit}>
+      <input name="email" type="email" required />
+      <input name="password" type="password" required />
+      <Turnstile
+        siteKey={process.env.NEXT_PUBLIC_TURNSTILE_SITE_KEY!}
+        onSuccess={setCaptchaToken}
+        onExpire={() => setCaptchaToken('')}
+      />
+      <button type="submit" disabled={!captchaToken}>Criar conta</button>
+    </form>
+  )
+}
+```
+### CAPTCHA em outros endpoints
+```ts
+// Magic link com CAPTCHA
+const { error } = await supabase.auth.signInWithOtp({
+  email,
+  options: { captchaToken },
+})
+// Reset de senha com CAPTCHA
+const { error } = await supabase.auth.resetPasswordForEmail(email, {
+  captchaToken,
+  redirectTo: 'https://meuapp.com/reset',
+})
+```
+### hCaptcha — Alternativa com maior privacidade
+```tsx
+import HCaptcha from '@hcaptcha/react-hcaptcha'
+function SignInForm() {
+  const captchaRef = useRef<HCaptcha>(null)
+  const [captchaToken, setCaptchaToken] = useState<string>('')
+  return (
+    <form>
+      <HCaptcha
+        sitekey={process.env.NEXT_PUBLIC_HCAPTCHA_SITE_KEY!}
+        ref={captchaRef}
+        onVerify={setCaptchaToken}
+        onExpire={() => setCaptchaToken('')}
+      />
+      <button type="submit" disabled={!captchaToken}>Entrar</button>
+    </form>
+  )
+}
+```
+## Password Security
+### Configurar políticas de senha
+```toml
+[auth.password]
+# Comprimento mínimo (padrão: 6, recomendado: 12+)
+min_length = 12
+# Exigir caracteres específicos
+require_uppercase = true     # pelo menos 1 maiúscula
+require_lowercase = true     # pelo menos 1 minúscula
+require_numbers = true       # pelo menos 1 número
+require_special_characters = true  # pelo menos 1 especial
+# Proteção contra senhas vazadas (HaveIBeenPwned) — Pro+
+check_breached_passwords = true
+```
+### Leaked Password Protection (HaveIBeenPwned)
+```toml
+[auth.password]
+check_breached_passwords = true   # rejeita senhas em listas de vazamento conhecidas
+```
+Como funciona: a senha é verificada via k-Anonymity contra a API HaveIBeenPwned — apenas os 5 primeiros caracteres do hash SHA-1 são enviados (a senha nunca sai do ambiente).
+### Exigir reautenticação antes de trocar senha
+```ts
+// 1. Solicitar verificação de identidade (envia email/SMS)
+const { error } = await supabase.auth.reauthenticate()
+// 2. Verificar código recebido
+const { error } = await supabase.auth.verifyOtp({
+  email: userEmail,
+  token: codigoDigitado,
+  type: 'reauthentication',
+})
+// 3. Após verificação, atualizar senha
+const { error } = await supabase.auth.updateUser({
+  password: novaSenha,
+})
+```
+### Exigir senha atual ao trocar senha
+```ts
+// Passar a senha atual junto da nova senha para garantir autenticidade
+const { error } = await supabase.auth.updateUser({
+  password: novaSenha,
+  // current_password evita ataques de session fixation
+  // (disponível em versões recentes do @supabase/supabase-js)
+})
+```
+## Audit Logs
+### Tabela `auth.audit_log_entries`
+```sql
+-- Ver últimas ações de auth
+select
+  created_at,
+  payload->>'action' as action,
+  payload->>'actor_id' as user_id,
+  payload->>'actor_username' as email,
+  payload->>'ip_address' as ip,
+  payload->>'traits' as traits
+from auth.audit_log_entries
+order by created_at desc
+limit 100;
+-- Filtrar por tipo de ação
+select *
+from auth.audit_log_entries
+where payload->>'action' = 'login'
+  and created_at > now() - interval '24 hours';
+```
+### Ações registradas
+| Ação | Descrição |
+|------|-----------|
+| `login` | Login bem-sucedido |
+| `logout` | Logout |
+| `signup` | Novo cadastro |
+| `token_refreshed` | Refresh de access token |
+| `password_recovery` | Pedido de reset de senha |
+| `user_modified` | Dados do usuário atualizados |
+| `user_deleted` | Conta deletada |
+| `mfa_challenge_verified` | Desafio MFA verificado |
+| `invite` | Usuário convidado por admin |
+### Armazenamento externo de audit logs
+Por padrão, logs ficam no Postgres do projeto (tabela `auth.audit_log_entries`). Para retenção de longo prazo ou compliance (LGPD, SOC 2):
+```ts
+// Edge Function — exportar audit logs para armazenamento externo
+// supabase/functions/export-audit-logs/index.ts
+import { createClient } from '@supabase/supabase-js'
+Deno.serve(async () => {
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!
+  )
+  const since = new Date(Date.now() - 60 * 60 * 1000).toISOString() // última hora
+  const { data: logs } = await supabase
+    .from('auth.audit_log_entries')
+    .select('*')
+    .gt('created_at', since)
+    .order('created_at')
+  if (logs?.length) {
+    // Enviar para S3, Datadog, Elastic, etc.
+    await fetch(Deno.env.get('LOG_EXPORT_URL')!, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify({ logs }),
+    })
+  }
+  return new Response('ok')
+})
+```
+### Desabilitar armazenamento no Postgres (se usar externo)
+```toml
+[auth]
+# Desabilita inserção em auth.audit_log_entries (ainda envia para hooks)
+enable_audit_log = false
+```
+## Regras absolutas
+1. **Produção exige SMTP custom** — o SMTP padrão do Supabase só envia para membros da equipe do projeto; sem SMTP custom, usuários não recebem emails de confirmação/reset
+2. **Habilitar CAPTCHA contra abuso de signup por bots** — signups automatizados consomem cota de email e poluem a base de usuários; Turnstile invisível tem menor atrito
+3. **Habilitar leaked password protection** — HaveIBeenPwned k-Anonymity não expõe a senha; rejeita 99%+ das senhas mais comuns em vazamentos
+4. **Site URL deve ser a URL de produção, não localhost** — usuários redirecionados para localhost perdem o fluxo de auth; verificar antes do deploy
+5. **URLs de preview precisam de entradas na allowlist** — Vercel e Netlify geram URLs dinâmicas por branch; usar wildcard específico com domínio base
+6. **Separar emails de auth dos emails de marketing** — usar subdomínio dedicado para auth; reclamações de spam do marketing não devem afetar entregabilidade transacional
+## Anti-patterns
+### Anti-pattern 1: SMTP padrão em produção
+**Errado:**
+```toml
+# config.toml sem configuração de SMTP
+# "vai funcionar no dashboard.supabase.com" — ERRADO para usuários reais
+```
+**Por quê:** o SMTP built-in do Supabase é exclusivo para desenvolvimento e testes — emails para endereços fora da equipe do projeto são silenciosamente descartados. Usuários em produção não recebem emails de confirmação ou reset de senha.
+**Certo:** configurar SMTP custom (Resend, SES, Postmark) com domínio verificado, DKIM e DMARC antes de ir para produção.
+### Anti-pattern 2: Site URL apontando para localhost
+**Errado:**
+```toml
+[auth]
+site_url = "http://localhost:3000"  # copiado do .env de dev → esquecido em produção
+```
+**Por quê:** após clicar no link de confirmação de email ou reset de senha, o usuário é redirecionado para `localhost:3000` — que não existe em produção. Fluxo de auth quebrado para todos os usuários.
+**Certo:** `site_url` em staging/produção sempre aponta para a URL real; usar variável de ambiente ou CI/CD para garantir que o valor correto seja aplicado por ambiente.
+### Anti-pattern 3: Signup sem CAPTCHA
+**Errado:**
+```ts
+// Signup direto sem proteção
+const { error } = await supabase.auth.signUp({ email, password })
+```
+**Por quê:** sem CAPTCHA, qualquer script pode criar milhares de contas automaticamente — consumindo cota de email SMTP, poluindo a base de usuários, e potencialmente causando custos inesperados.
+**Certo:** habilitar Turnstile (invisível, menos atrito) ou hCaptcha; passar `captchaToken` no `signUp()`.
+### Anti-pattern 4: Misturar emails de auth e marketing
+**Errado:**
+```
+Domínio: meuapp.com
+Auth emails: noreply@meuapp.com (mesmo domínio/IP)
+Marketing: newsletter@meuapp.com (mesmo domínio/IP)
+```
+**Por quê:** alta taxa de unsubscribe ou reclamações de spam nas newsletters degrada a reputação do domínio/IP → emails de auth (confirmação, reset de senha) também caem no spam ou são bloqueados.
+**Certo:**
+```
+Auth: noreply@auth.meuapp.com (subdomínio dedicado, IP separado)
+Marketing: news@meuapp.com (domínio principal)
+```
+Reputações de email são por domínio/IP; subdominios permitem isolamento.
+## Ver também
+- [supabase-auth-methods](../supabase-auth-methods/SKILL.md) — panorama de métodos de auth (email, magic link, OAuth social)
+- [supabase-social-oauth](../supabase-social-oauth/SKILL.md) — OAuth social (Google, GitHub, etc.)
+- [supabase-auth-hooks](../supabase-auth-hooks/SKILL.md) — hooks de autenticação (before/after events)
+- [supabase-mfa](../supabase-mfa/SKILL.md) — Multi-Factor Authentication (TOTP, SMS)
+- [supabase-auth-bootstrapper](../../agents/supabase-auth-bootstrapper.md) — agente que configura auth completo desde o início
+- [supabase-auth-ssr](../supabase-auth-ssr/SKILL.md) — @supabase/ssr para Next.js