Sessoes 1-6 acumuladas: hardening B2, defesa em camadas, +192 testes

Repositorio estava ha ~5 sessoes sem commit. Consolida tudo desde d088a89.

Ver commit.md na raiz para descricao completa por sessao.

# Numeros
- A# auditoria abertos: 0/30
- V# verificacoes abertos: 5/52 (todos adiados com plano)
- T# testes escritos: 10/10
- Vitest: 192/192
- SQL integration: 33/33
- E2E (Playwright, novo): 5/5
- Migrations: 17 (10 novas Sessao 6)
- Areas auditadas: 7 (+documentos com 10 V#)

# Highlights Sessao 6 (hoje)
- V#34/V#41 Opcao B2: tenant_features com plano + override (RPC SECURITY DEFINER, tela /saas/tenant-features)
- A#20 rev2 self-hosted: defesa em 5 camadas (honeypot + rate limit + math captcha condicional + paranoid mode + dashboard /saas/security)
- Documentos hardening (V#43-V#49): tenant scoping em storage policies (vazamento entre clinicas eliminado), RPC validate_share_token, signatures policy granular
- SaaS Twilio Config (/saas/twilio-config): UI editavel para SID/webhook/cotacao; AUTH_TOKEN permanece em env var
- T#9 + T#10: useAgendaEvents.spec.js + Playwright E2E (descobriu bug no front que foi corrigido)

# Sessoes anteriores (1-5) consolidadas
- Sessao 1: auth/router/session, normalizeRole extraido
- Sessao 2: agenda - composables/services consolidados
- Sessao 3: pacientes - tenant_id em todas queries
- Sessao 4: security review pagina publica - 14/15 vulnerabilidades corrigidas
- Sessao 5: SaaS - P0 (A#30: 7 tabelas com RLS off corrigidas)

# .gitignore ajustado
- supabase/* + !supabase/functions/ (mantem 10 edge functions, ignora .temp/migrations gerados pelo CLI)
- database-novo/backups/ (regeneravel via db.cjs backup)
- test-results/ + playwright-report/
- .claude/settings.local.json (config local com senha de dev removida do tracking)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/services/DocumentShareLinks.service.js

@@ -105,36 +105,23 @@ export async function listShareLinks(documentoId) {
 export async function validateShareToken(token) {
     if (!token) return null;
 
-    // Buscar link ativo
-    const { data: link, error } = await supabase
-        .from('document_share_links')
-        .select('*')
-        .eq('token', token)
-        .eq('ativo', true)
-        .single();
+    // V#46: SELECT direto pela tabela com policy "public read by token" foi
+    // removido. Agora chama RPC validate_share_token (SECURITY DEFINER) que
+    // valida + incrementa usos + loga acesso atomicamente. Sem race condition.
+    const { data, error } = await supabase.rpc('validate_share_token', { p_token: token });
+    if (error) return null;
+    if (!data?.document_id) return null;
 
-    if (error || !link) return null;
-
-    // Verificar expiracao
-    if (new Date(link.expira_em) < new Date()) return null;
-
-    // Verificar limite de usos
-    if (link.usos >= link.usos_max) return null;
-
-    // Incrementar uso
-    await supabase
-        .from('document_share_links')
-        .update({ usos: link.usos + 1 })
-        .eq('id', link.id);
-
-    // Buscar documento
-    const { data: doc } = await supabase
-        .from('documents')
-        .select('id, nome_original, mime_type, bucket_path, storage_bucket')
-        .eq('id', link.documento_id)
-        .single();
-
-    return { link, document: doc };
+    return {
+        link: { id: null, token, documento_id: data.document_id }, // estrutura mínima compat
+        document: {
+            id: data.document_id,
+            nome_original: data.nome_original,
+            mime_type: data.mime_type,
+            bucket_path: data.bucket_path,
+            storage_bucket: data.bucket
+        }
+    };
 }
 
 // ── Desativar link ──────────────────────────────────────────

src/services/twilioWhatsappService.js

@@ -16,12 +16,57 @@ const PROVISION_FN = 'twilio-whatsapp-provision'
 
 // ── Helpers ────────────────────────────────────────────────────────────────
 
+// Mensagens user-friendly para erros conhecidos da edge function.
+// Mantém a mensagem técnica como fallback.
+function friendlyErrorMessage(message) {
+    const msg = String(message || '').toLowerCase()
+
+    if (msg.includes('credenciais twilio')) {
+        return 'Credenciais Twilio não configuradas. Configure TWILIO_ACCOUNT_SID e TWILIO_AUTH_TOKEN nas variáveis da Edge Function antes de usar.'
+    }
+    if (msg.includes('não autorizado') || msg.includes('not authorized')) {
+        return 'Sessão expirada ou sem permissão. Faça login de novo.'
+    }
+    if (msg.includes('apenas saas admin')) {
+        return 'Apenas SaaS admins podem executar esta ação.'
+    }
+    if (msg.includes('failed to send') || msg.includes('networkerror') || msg.includes('failed to fetch')) {
+        return 'Edge Function indisponível. Verifique se foi feito deploy (npx supabase functions deploy twilio-whatsapp-provision) e tente novamente.'
+    }
+    if (msg.includes('non-2xx')) {
+        return 'A Edge Function rejeitou a chamada. Veja "Configuração de variáveis" abaixo — provavelmente faltam credenciais Twilio.'
+    }
+    if (msg.includes('not found') && msg.includes('function')) {
+        return 'Edge Function não encontrada. Faça o deploy: npx supabase functions deploy twilio-whatsapp-provision'
+    }
+    return message
+}
+
 async function callProvision(action, payload = {}) {
-    const { data, error } = await supabase.functions.invoke(PROVISION_FN, {
-        body: { action, ...payload },
-    })
-    if (error) throw new Error(error.message || 'Erro na Edge Function')
-    if (data?.error) throw new Error(data.error)
+    let data, error
+    try {
+        const res = await supabase.functions.invoke(PROVISION_FN, {
+            body: { action, ...payload },
+        })
+        data = res.data
+        error = res.error
+    } catch (e) {
+        // erro de rede / function indisponível
+        throw new Error(friendlyErrorMessage(e?.message || 'Falha de conexão com a Edge Function'))
+    }
+
+    // Quando edge devolve 4xx/5xx, supabase-js coloca a Response em error.context
+    // O body com {error, detail} continua acessível via error.context.json().
+    if (error) {
+        let realMsg = error.message
+        try {
+            const ctxBody = await error.context?.json?.()
+            if (ctxBody?.error) realMsg = ctxBody.error
+        } catch { /* ignora — ficamos com error.message original */ }
+        throw new Error(friendlyErrorMessage(realMsg))
+    }
+
+    if (data?.error) throw new Error(friendlyErrorMessage(data.error))
     return data
 }