@luanpdd/kit-mcp 1.7.0 → 1.9.0

package/kit/skills/supabase-database-functions/SKILL.md

@@ -0,0 +1,247 @@
+---
+name: supabase-database-functions
+description: Use ao criar funções Postgres — SECURITY INVOKER por padrão, SET search_path = '' SEMPRE, schema-qualified names, IMMUTABLE/STABLE quando possível.
+---
+
+# Supabase — Database Functions
+
+## Quando usar
+
+LLM carrega esta skill quando criar ou auditar funções Postgres em projeto Supabase. Trigger phrases:
+
+- "criar função Postgres", "create or replace function"
+- "trigger de banco", "function trigger"
+- "SECURITY INVOKER vs DEFINER"
+- "search_path", "set search_path"
+- "função imutável", "stable function"
+
+## Regras absolutas
+
+- **Sempre `SECURITY INVOKER`** por default — função roda com permissões de quem invoca (mais seguro). `SECURITY DEFINER` apenas com justificativa explícita escrita em comentário no topo da função.
+- **Sempre `set search_path = ''`** — sem isso, função vulnerável a hijack de schema. Documentado em [Database Advisors lint 0011](https://supabase.com/docs/guides/database/database-advisors).
+- **Schema-qualified** (em todas as referências a tabelas, colunas, outras funções): `public.tasks`, não `tasks`. Sem qualifier, lookup falha quando `search_path = ''`.
+- Marque **`IMMUTABLE`** se função não consulta DB e sempre retorna o mesmo para os mesmos inputs (ex: formatadores de string).
+- Marque **`STABLE`** se função consulta DB mas não modifica e retorna o mesmo dentro de uma transação (ex: lookups). Permite Postgres cachear o resultado por query.
+- Use **`VOLATILE`** apenas se função modifica dados ou tem side effects (default — não precisa explicitar).
+- Error handling com `RAISE EXCEPTION 'mensagem'` — nunca silent fail.
+- Para triggers: include `CREATE TRIGGER` válido junto com `CREATE FUNCTION` na mesma migration.
+
+## Patterns canônicos
+
+### Função simples — SECURITY INVOKER + search_path
+
+```sql
+-- formatador puro: IMMUTABLE
+create or replace function public.format_full_name(first_name text, last_name text)
+returns text
+language sql
+security invoker
+set search_path = ''
+immutable
+as $$
+  select first_name || ' ' || last_name;
+$$;
+```
+
+### Função com query — STABLE + schema-qualified
+
+```sql
+-- conta tasks de um usuário (não modifica) — STABLE permite caching
+create or replace function public.get_user_task_count(p_user_id uuid)
+returns integer
+language plpgsql
+security invoker
+set search_path = ''
+stable
+as $$
+declare
+  v_count integer;
+begin
+  select count(*) into v_count
+    from public.tasks                    -- schema-qualified obrigatório
+    where user_id = p_user_id;
+  return v_count;
+end;
+$$;
+```
+
+### Trigger — atualizar `updated_at`
+
+```sql
+-- function + trigger juntos na mesma migration
+create or replace function public.set_updated_at()
+returns trigger
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+begin
+  new.updated_at := now();
+  return new;
+end;
+$$;
+
+create trigger tasks_set_updated_at
+  before update on public.tasks
+  for each row
+  execute function public.set_updated_at();
+```
+
+### Função com error handling
+
+```sql
+create or replace function public.transfer_credits(
+  p_from_user uuid,
+  p_to_user uuid,
+  p_amount integer
+)
+returns void
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+declare
+  v_from_balance integer;
+begin
+  if p_amount <= 0 then
+    raise exception 'Valor de transferência deve ser positivo: %', p_amount;
+  end if;
+
+  select balance into v_from_balance
+    from public.accounts
+    where user_id = p_from_user
+    for update;                          -- lock para evitar race
+
+  if v_from_balance < p_amount then
+    raise exception 'Saldo insuficiente';
+  end if;
+
+  update public.accounts
+    set balance = balance - p_amount
+    where user_id = p_from_user;
+
+  update public.accounts
+    set balance = balance + p_amount
+    where user_id = p_to_user;
+end;
+$$;
+```
+
+### `SECURITY DEFINER` — quando justificável
+
+```sql
+-- caso raro: função precisa fazer algo que invoker não pode fazer
+-- ex: contar todos os usuários (acessível só para admins via app_metadata)
+-- mas exposto via RPC para qualquer authenticated com auth check interno
+
+-- comentário JUSTIFICANDO o DEFINER (obrigatório)
+create or replace function public.count_active_users()
+returns integer
+-- security definer porque: precisamos bypassar RLS de auth.users que bloqueia leitura
+-- mitigação: validamos role admin via app_metadata logo no topo
+language plpgsql
+security definer
+set search_path = ''
+stable
+as $$
+declare
+  v_count integer;
+begin
+  -- validar admin via app_metadata (não user_metadata!)
+  if (auth.jwt()->'app_metadata'->>'role') is distinct from 'admin' then
+    raise exception 'Acesso negado: apenas admins';
+  end if;
+
+  select count(*) into v_count
+    from public.users
+    where last_seen_at > now() - interval '30 days';
+  return v_count;
+end;
+$$;
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: `SECURITY DEFINER` + sem `set search_path` + sem schema qualifier
+
+**Errado:**
+```sql
+create or replace function f()
+returns integer
+language plpgsql
+security definer                          -- ⚠ sem justificativa
+as $$                                     -- ⚠ sem set search_path
+begin
+  return (select count(*) from tasks);   -- ⚠ sem public. qualifier
+end;
+$$;
+```
+
+**Por quê:** atacante pode criar `tasks` em schema próprio + manipular `search_path` via `set local search_path = atacante,public` antes de invocar. Função `SECURITY DEFINER` executa com permissões do owner — atacante consegue ler/escrever onde não deveria.
+
+**Certo:**
+```sql
+create or replace function public.f()
+returns integer
+language plpgsql
+security invoker                          -- prefira invoker
+set search_path = ''                      -- bloqueia hijack
+stable
+as $$
+begin
+  return (select count(*) from public.tasks);  -- qualified
+end;
+$$;
+```
+
+### Anti-pattern 2: Função consulta DB mas marcada `IMMUTABLE`
+
+**Errado:**
+```sql
+create or replace function public.user_count_immutable()
+returns integer
+language sql
+immutable                                 -- ⚠ função consulta DB — não imutável
+set search_path = ''
+as $$
+  select count(*) from public.users;
+$$;
+```
+
+**Por quê:** `IMMUTABLE` diz para Postgres "este resultado nunca muda para os mesmos inputs". Postgres pode cachear ou pré-computar. Mas a contagem de usuários muda — Postgres pode retornar valor stale indefinidamente.
+
+**Certo:** usar `stable` (consulta DB, não modifica, mesmo em uma transação) ou `volatile` (default — recompute sempre).
+
+### Anti-pattern 3: Silent fail sem `raise exception`
+
+**Errado:**
+```sql
+create or replace function public.deduct_credits(p_user uuid, p_amount integer)
+returns void
+language plpgsql
+security invoker
+set search_path = ''
+as $$
+begin
+  -- ⚠ sem validação — atualiza mesmo com saldo negativo
+  update public.accounts
+    set balance = balance - p_amount
+    where user_id = p_user;
+end;
+$$;
+```
+
+**Por quê:** silent fail oculta bugs. Saldo fica negativo sem aviso; testes downstream falham com mensagens enigmáticas.
+
+**Certo:**
+```sql
+-- valida + raise exception se inválido (ver pattern "transfer_credits" acima)
+```
+
+## Ver também
+
+- [supabase-postgres-style](../supabase-postgres-style/SKILL.md) — convenção de naming + style aplicada em funções
+- [supabase-rls-policies](../supabase-rls-policies/SKILL.md) — funções e RLS interagem (SECURITY INVOKER respeita RLS do invoker)
+- [supabase-migrations](../supabase-migrations/SKILL.md) — funções em migrations são versionadas
+- [supabase-cron-queues](../supabase-cron-queues/SKILL.md) — funções invocadas por `pg_cron` jobs
+- [glossário](../_shared-supabase/glossary.md) — termos PT-BR↔EN + comandos CLI

package/kit/skills/supabase-declarative-schema/SKILL.md

@@ -0,0 +1,183 @@
+---
+name: supabase-declarative-schema
+description: Use ao gerenciar schema via supabase/schemas/ — workflow stop → db diff -f → revisar → apply. Inclui caveats sobre views, RLS, partitions.
+---
+
+# Supabase — Declarative Database Schema
+
+## Quando usar
+
+LLM carrega esta skill quando trabalhar com `supabase/schemas/` (declarative source-of-truth) em vez de migrations imperativas. Trigger phrases:
+
+- "supabase schemas/", "declarative schema"
+- "supabase db diff", "gerar migration de schema"
+- "schema source of truth"
+- "como adicionar tabela em projeto declarative"
+
+## Regras absolutas
+
+- **Workflow canônico:**
+  1. Editar arquivos `.sql` em `supabase/schemas/` (representando estado **final** desejado de cada entidade)
+  2. **`supabase stop`** — derrubar containers locais (necessário antes de diff)
+  3. **`supabase db diff -f <name>`** — gera migration em `supabase/migrations/<timestamp>_<name>.sql`
+  4. **Revisar manualmente** a migration gerada (diff é heurístico — pode gerar SQL incorreto em renames, drops, etc.)
+  5. `supabase db reset` para aplicar local; `supabase db push` para aplicar remote
+- **Nunca pule `supabase stop`** antes de `db diff` — diff sem stop produz output inconsistente.
+- **Nunca pule revisão** da migration gerada — especialmente para renames (diff pode gerar `drop+create` em vez de `rename column`).
+- **DML (INSERT/UPDATE/DELETE) NÃO é declarative** — fica em migrations imperativas (`supabase/migrations/`) ou `supabase/seed.sql`.
+- **Files ordenados lexicograficamente** — para gerenciar dependências (FKs), nomeie de forma que a ordem de execução resolva referências (ex: `01_users.sql`, `02_tasks.sql`).
+- **Adicione novas colunas no fim** da definição da tabela — evita diffs falsos em PRs.
+- Seu `kit` de schemas reflete estado final, **não** o histórico — migrations carregam o histórico.
+
+## Patterns canônicos
+
+### Estrutura típica de `supabase/schemas/`
+
+```
+supabase/
+├── schemas/
+│   ├── 01_extensions.sql         -- create extension if not exists ...
+│   ├── 02_users.sql              -- public.users (mirror de auth.users)
+│   ├── 03_tasks.sql              -- public.tasks
+│   ├── 04_tasks_rls.sql          -- policies em public.tasks
+│   └── 05_functions.sql          -- public.set_updated_at, etc.
+├── migrations/                    -- gerado por db diff (revisado e commitado)
+└── seed.sql                       -- DML (não declarative)
+```
+
+### Workflow de mudança
+
+```bash
+# PT-BR: 1. editar schemas/
+# (ex: adicionar coluna priority em supabase/schemas/03_tasks.sql)
+
+# PT-BR: 2. parar containers (obrigatório antes de diff)
+supabase stop
+
+# PT-BR: 3. gerar migration
+supabase db diff -f add_priority_to_tasks
+
+# PT-BR: 4. revisar arquivo gerado
+# supabase/migrations/<timestamp>_add_priority_to_tasks.sql
+# (verificar se diff capturou só o intended change — não renames falsos, drops indevidos)
+
+# PT-BR: 5. aplicar local
+supabase db reset
+
+# PT-BR: 6. (depois) aplicar remote
+supabase db push
+```
+
+### Schema com FK e RLS
+
+```sql
+-- supabase/schemas/03_tasks.sql
+create table if not exists public.tasks (
+  id uuid primary key default gen_random_uuid(),
+  user_id uuid not null references auth.users (id) on delete cascade,
+  title text not null,
+  status text not null default 'todo',
+  priority text not null default 'low',           -- novas colunas: append no fim
+  created_at timestamptz not null default now()
+);
+
+alter table public.tasks enable row level security;
+
+-- policies em arquivo separado (04_tasks_rls.sql) ou aqui
+-- mas sempre granulares (ver supabase-rls-policies)
+```
+
+## Caveats — limitações conhecidas do declarative
+
+O `migra` diff tool (usado por `supabase db diff`) tem edge cases. **Sempre revise** a migration gerada antes de aplicar.
+
+### DML (INSERT/UPDATE/DELETE)
+- **Não rastreável** por declarative (declarative só captura DDL — Data Definition Language).
+- Use `supabase/seed.sql` para seed data ou migrations imperativas para mudanças de dados.
+
+### View ownership e atributos
+- Diff **não captura mudanças de owner** de views.
+- **Security invoker em views** não é diferenciado por diff — usar migration manual se mudar.
+- **Materialized views** têm suporte limitado.
+- **Mudança de column type em views** não recria a view — diff pode falhar silenciosamente.
+
+### RLS policies
+- `alter policy` statements são suportados mas podem ter edge cases.
+- **Column privileges** não são totalmente capturados.
+
+### Outras entidades
+- **Schema privileges:** não rastreados (cada schema diffado separadamente).
+- **Comments on objects:** não rastreados.
+- **Partitions:** suporte limitado — partitioned tables podem precisar migration manual.
+- **`alter publication ... add table`:** não detectado por diff.
+- **`create domain`:** ignorado por diff (usar migration imperativa).
+- **`grant` statements:** duplicados a partir de default privileges — verificar saída.
+
+## Anti-patterns
+
+### Anti-pattern 1: `db diff` com containers up
+
+**Errado:**
+```bash
+# containers ainda rodando
+supabase db diff -f my_change   # ⚠ output inconsistente
+```
+
+**Por quê:** diff compara schema declarado em `schemas/` com DB local atual. Se containers up, DB tem state inconsistente (mid-transaction, locks abertos).
+
+**Certo:**
+```bash
+supabase stop
+supabase db diff -f my_change
+```
+
+### Anti-pattern 2: Aplicar migration gerada sem revisão
+
+**Errado:**
+```bash
+supabase db diff -f rename_column
+supabase db push   # ⚠ aplicou sem revisar
+```
+
+**Por quê:** diff é heurístico. Em renames, pode gerar `drop column old + create column new` em vez de `alter table ... rename column`. Resultado: dados perdidos.
+
+**Certo:** sempre abrir `supabase/migrations/<timestamp>_*.sql` e revisar antes de aplicar.
+
+### Anti-pattern 3: DML em `supabase/schemas/`
+
+**Errado:**
+```sql
+-- supabase/schemas/03_tasks.sql
+create table if not exists public.tasks (...);
+
+insert into public.tasks (id, title) values (...);   -- ⚠ DML não é declarative
+```
+
+**Por quê:** declarative captura apenas DDL. Inserts em `schemas/` rodam quando schema é aplicado, mas não são rastreáveis em migrations — recriam sempre que `db reset`.
+
+**Certo:** mover INSERTs para `supabase/seed.sql` ou migration imperativa.
+
+### Anti-pattern 4: Adicionar coluna no meio da definição
+
+**Errado:**
+```sql
+-- antes
+create table public.tasks (id uuid, title text, created_at timestamptz);
+
+-- depois (coluna adicionada NO MEIO)
+create table public.tasks (id uuid, priority text, title text, created_at timestamptz);
+```
+
+**Por quê:** diff pode interpretar como reorder e gerar SQL ineficiente (drop + recreate de várias colunas).
+
+**Certo:** appendar no fim:
+```sql
+create table public.tasks (id uuid, title text, created_at timestamptz, priority text);
+```
+
+## Ver também
+
+- [supabase-migrations](../supabase-migrations/SKILL.md) — formato e regras dos arquivos gerados em `migrations/`
+- [supabase-postgres-style](../supabase-postgres-style/SKILL.md) — estilo SQL nas declarações
+- [supabase-rls-policies](../supabase-rls-policies/SKILL.md) — como expressar RLS em schemas/
+- [glossário](../_shared-supabase/glossary.md) — comandos CLI canônicos (`supabase stop`, `db diff -f`, `db reset`)

package/kit/skills/supabase-edge-functions/SKILL.md

@@ -0,0 +1,242 @@
+---
+name: supabase-edge-functions
+description: Use ao escrever Edge Functions — Deno + imports npm:/jsr: (NUNCA bare), Deno.serve, env vars pre-populadas, file writes APENAS em /tmp, EdgeRuntime.waitUntil.
+---
+
+# Supabase — Edge Functions (Deno)
+
+## Quando usar
+
+LLM carrega esta skill quando criar, editar ou debugar Supabase Edge Functions (Deno runtime). Trigger phrases:
+
+- "criar Edge Function", "Supabase functions"
+- "Deno + Supabase"
+- "supabase functions deploy"
+- "Edge Function background task"
+- "import npm: jsr: em Edge Function"
+
+## Regras absolutas
+
+- **Runtime é Deno**, não Node.js. Use APIs Deno (`Deno.serve`, `Deno.env`, `Deno.writeTextFile`).
+- **Imports SEMPRE com `npm:` ou `jsr:`** prefix. **NUNCA** bare specifiers (`import x from 'pkg'` falha em runtime).
+- **Use versão pinada** nos imports — `npm:hono@4.6.7`, `npm:@supabase/supabase-js@2`. Sem version, runtime resolve para latest e quebra em deploy.
+- **Env vars pre-populadas** (não definir manualmente):
+  - `SUPABASE_URL`
+  - `SUPABASE_PUBLISHABLE_KEYS` (anon key — para client-side context)
+  - `SUPABASE_SECRET_KEYS` (service role — server-side only)
+  - `SUPABASE_DB_URL` (conexão direta ao Postgres)
+- Para outros secrets, set via `supabase secrets set --env-file path/to/.env`.
+- **`Deno.serve`** é o entry point canônico. **Nunca** `addEventListener('fetch')` (deprecated) ou `serve` de `https://deno.land/std@0.168.0/http/server.ts` (não usar).
+- **File writes APENAS em `/tmp`** — qualquer outro path é read-only.
+- Para tarefas em background após resposta, use **`EdgeRuntime.waitUntil(promise)`**. Sem isso, função termina antes da promise.
+- Multi-rota com Hono ou Express deve **prefixar** todas as rotas com `/<function-name>` (ex: `/my-function/users`) — sem prefix, request 404 quando deployada.
+
+## Patterns canônicos
+
+### Função básica — Deno.serve + npm: import
+
+```ts
+// supabase/functions/hello/index.ts
+// PT-BR: imports versionados sempre com npm:
+import { createClient } from 'npm:@supabase/supabase-js@2'
+
+Deno.serve(async (req) => {
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SECRET_KEYS')!   // service role server-side
+  )
+
+  const { data, error } = await supabase
+    .from('tasks')
+    .select('id, title')
+    .limit(10)
+
+  if (error) {
+    return new Response(JSON.stringify({ error: error.message }), {
+      status: 500,
+      headers: { 'Content-Type': 'application/json' },
+    })
+  }
+
+  return new Response(JSON.stringify(data), {
+    headers: { 'Content-Type': 'application/json' },
+  })
+})
+```
+
+### Background task com `EdgeRuntime.waitUntil`
+
+```ts
+// supabase/functions/audit-log/index.ts
+// PT-BR: responde rápido, processa pesado em background
+
+Deno.serve(async (req) => {
+  const body = await req.json()
+
+  // PT-BR: `waitUntil` mantém runtime alive até promise resolver
+  EdgeRuntime.waitUntil((async () => {
+    // PT-BR: file write apenas em /tmp
+    await Deno.writeTextFile(
+      `/tmp/audit-${Date.now()}.log`,
+      JSON.stringify(body)
+    )
+    // PT-BR: pode chamar APIs externas, gerar embeddings, etc.
+    await fetch('https://example.com/audit', {
+      method: 'POST',
+      body: JSON.stringify(body),
+    })
+  })())
+
+  // PT-BR: response volta imediatamente
+  return new Response('accepted', { status: 202 })
+})
+```
+
+### Multi-rota com Hono
+
+```ts
+// supabase/functions/api/index.ts
+// PT-BR: rotas prefixadas com /api (nome da function)
+import { Hono } from 'npm:hono@4.6.7'
+
+const app = new Hono().basePath('/api')
+
+app.get('/users', (c) => c.json({ users: [] }))
+app.get('/users/:id', (c) => c.json({ id: c.req.param('id') }))
+app.post('/users', async (c) => {
+  const body = await c.req.json()
+  return c.json({ created: body }, 201)
+})
+
+Deno.serve(app.fetch)
+```
+
+### Função usando JSR e Node built-in
+
+```ts
+// supabase/functions/hash/index.ts
+// PT-BR: imports do JSR + Node built-in (precisa node: prefix)
+import { encodeHex } from 'jsr:@std/encoding/hex'
+import { createHash } from 'node:crypto'
+
+Deno.serve(async (req) => {
+  const { text } = await req.json()
+  const hash = createHash('sha256').update(text).digest('hex')
+  return new Response(JSON.stringify({ hash }), {
+    headers: { 'Content-Type': 'application/json' },
+  })
+})
+```
+
+### Auth — service-role server-side
+
+```ts
+// supabase/functions/admin-action/index.ts
+// PT-BR: service-role bypassa RLS — apenas server-side
+import { createClient } from 'npm:@supabase/supabase-js@2'
+
+Deno.serve(async (req) => {
+  // PT-BR: extrair JWT do header Authorization e validar
+  const authHeader = req.headers.get('Authorization')
+  if (!authHeader?.startsWith('Bearer ')) {
+    return new Response('unauthorized', { status: 401 })
+  }
+
+  // PT-BR: client com service-role para operação privilegiada
+  const supabase = createClient(
+    Deno.env.get('SUPABASE_URL')!,
+    Deno.env.get('SUPABASE_SECRET_KEYS')!
+  )
+
+  // PT-BR: validar JWT e extrair user
+  const { data: { user }, error } = await supabase.auth.getUser(
+    authHeader.replace('Bearer ', '')
+  )
+  if (!user || error) return new Response('unauthorized', { status: 401 })
+
+  // PT-BR: agora pode operar com privilégios de service_role
+  await supabase.from('audit_log').insert({ user_id: user.id, action: 'admin_view' })
+
+  return new Response('ok')
+})
+```
+
+## Anti-patterns
+
+### Anti-pattern 1: Bare specifier sem `npm:`/`jsr:`
+
+**Errado:**
+```ts
+import { createClient } from '@supabase/supabase-js'      // ⚠ bare specifier
+```
+
+**Por quê:** Deno não resolve bare specifiers. Runtime falha em startup com erro `Module not found`.
+
+**Certo:**
+```ts
+import { createClient } from 'npm:@supabase/supabase-js@2'
+```
+
+### Anti-pattern 2: `Deno.writeTextFile` fora de `/tmp`
+
+**Errado:**
+```ts
+await Deno.writeTextFile('/data/audit.log', data)         // ⚠ filesystem read-only
+await Deno.writeTextFile('./local/x.log', data)           // ⚠ idem
+```
+
+**Por quê:** Edge Functions runtime tem filesystem read-only exceto `/tmp`. Writes fora de `/tmp` falham com `EACCES`.
+
+**Certo:**
+```ts
+await Deno.writeTextFile(`/tmp/audit-${Date.now()}.log`, data)
+```
+
+### Anti-pattern 3: Trabalho pesado inline na response
+
+**Errado:**
+```ts
+Deno.serve(async (req) => {
+  const body = await req.json()
+  await processHeavyJob(body)        // ⚠ trava response 30s+
+  await sendEmail(body)              // ⚠ idem
+  return new Response('done')
+})
+```
+
+**Por quê:** cliente espera resposta. Edge Functions têm timeout (default 60s). Falhas pontuais quebram UX.
+
+**Certo:** use `EdgeRuntime.waitUntil` para liberar resposta:
+```ts
+Deno.serve(async (req) => {
+  const body = await req.json()
+  EdgeRuntime.waitUntil((async () => {
+    await processHeavyJob(body)
+    await sendEmail(body)
+  })())
+  return new Response('accepted', { status: 202 })
+})
+```
+
+### Anti-pattern 4: Multi-rota sem prefix
+
+**Errado:**
+```ts
+const app = new Hono()                  // ⚠ sem basePath
+app.get('/users', handler)
+Deno.serve(app.fetch)                   // request a /users → 404 em produção
+```
+
+**Por quê:** quando deployado, URL é `https://<ref>.supabase.co/functions/v1/<name>/...`. Sem `basePath('/<name>')` no router, request a `/users` não casa.
+
+**Certo:**
+```ts
+const app = new Hono().basePath('/api')   // PT-BR: prefix com nome da function
+```
+
+## Ver também
+
+- [supabase-auth-ssr](../supabase-auth-ssr/SKILL.md) — clients usam `npm:@supabase/supabase-js`
+- [supabase-rls-policies](../supabase-rls-policies/SKILL.md) — service-role server-side bypassa RLS
+- [supabase-cron-queues](../supabase-cron-queues/SKILL.md) — Edge Functions invocadas por `pg_net.http_post`
+- [glossário](../_shared-supabase/glossary.md) — comandos CLI (`supabase functions deploy`)