-- ============================================================================= -- Migration: 20260419000001_tenant_features_b2_governance -- Resolve V#34 (isEnabled opt-out por padrão) + V#41 (dupla fonte entitlements -- vs tenant_features) — Opção B2 (plano + override com exceção comercial). -- -- Mudanças: -- 1. Trigger tenant_features_guard_with_plan ganha bypass via session flag -- (current_setting('app.allow_feature_exception')) — só RPC pode setar. -- 2. Nova RPC set_tenant_feature_exception(tenant_id, feature_key, enabled, reason) -- SECURITY DEFINER, com regras assimétricas: -- - p_enabled=false → tenant_admin OU saas_admin (preferência) -- - p_enabled=true AND plano permite → tenant_admin OU saas_admin -- - p_enabled=true AND plano NÃO permite → SOMENTE saas_admin + reason obrigatório -- Toda mudança grava em tenant_feature_exceptions_log. -- 3. Policy tenant_features_write restringida a saas_admin (writes diretos). -- Tenant_admin agora muda só via RPC. -- ============================================================================= -- ───────────────────────────────────────────────────────────────────────── -- 1. Trigger: bypass controlado por session flag -- ----------------------------------------------------------------------------- CREATE OR REPLACE FUNCTION public.tenant_features_guard_with_plan() RETURNS trigger LANGUAGE plpgsql AS $$ DECLARE v_allowed boolean; v_bypass text; BEGIN -- Só valida quando está habilitando IF new.enabled IS DISTINCT FROM true THEN RETURN new; END IF; -- Bypass autorizado: setado pela RPC set_tenant_feature_exception -- após validar que o caller é saas_admin com reason. v_bypass := current_setting('app.allow_feature_exception', true); IF v_bypass = 'true' THEN RETURN new; END IF; -- Permitido pelo plano do tenant? SELECT EXISTS ( SELECT 1 FROM public.v_tenant_entitlements_full v WHERE v.tenant_id = new.tenant_id AND v.feature_key = new.feature_key AND v.allowed = true ) INTO v_allowed; IF NOT v_allowed THEN RAISE EXCEPTION 'Feature % não permitida pelo plano atual do tenant %.', new.feature_key, new.tenant_id USING ERRCODE = 'P0001'; END IF; RETURN new; END; $$; -- ───────────────────────────────────────────────────────────────────────── -- 2. RPC set_tenant_feature_exception -- (substitui versão anterior que retornava void; retorna jsonb agora) -- ----------------------------------------------------------------------------- DROP FUNCTION IF EXISTS public.set_tenant_feature_exception(uuid, text, boolean, text); CREATE OR REPLACE FUNCTION public.set_tenant_feature_exception( p_tenant_id uuid, p_feature_key text, p_enabled boolean, p_reason text DEFAULT NULL ) RETURNS jsonb LANGUAGE plpgsql SECURITY DEFINER SET search_path TO 'public' AS $function$ DECLARE v_caller uuid := auth.uid(); v_is_saas boolean := public.is_saas_admin(); v_is_tenant_adm boolean; v_plan_allows boolean; v_feature_key text; v_reason text; v_is_exception boolean; BEGIN -- ─────────────────────────────────────────────────────────────────────── -- Sanitização (padrão V#31) -- ─────────────────────────────────────────────────────────────────────── IF v_caller IS NULL THEN RAISE EXCEPTION 'Não autenticado' USING ERRCODE = '28000'; END IF; IF p_tenant_id IS NULL THEN RAISE EXCEPTION 'tenant_id obrigatório' USING ERRCODE = '22023'; END IF; IF p_enabled IS NULL THEN RAISE EXCEPTION 'enabled obrigatório' USING ERRCODE = '22023'; END IF; v_feature_key := nullif(btrim(coalesce(p_feature_key, '')), ''); IF v_feature_key IS NULL THEN RAISE EXCEPTION 'feature_key obrigatório' USING ERRCODE = '22023'; END IF; IF length(v_feature_key) > 80 THEN RAISE EXCEPTION 'feature_key inválido (>80)' USING ERRCODE = '22023'; END IF; IF v_feature_key !~ '^[a-z][a-z0-9_.]*$' THEN RAISE EXCEPTION 'feature_key formato inválido' USING ERRCODE = '22023'; END IF; v_reason := nullif(btrim(coalesce(p_reason, '')), ''); IF v_reason IS NOT NULL AND length(v_reason) > 500 THEN v_reason := substring(v_reason FROM 1 FOR 500); END IF; IF NOT EXISTS (SELECT 1 FROM public.features WHERE key = v_feature_key) THEN RAISE EXCEPTION 'feature_key desconhecida: %', v_feature_key USING ERRCODE = '22023'; END IF; IF NOT EXISTS (SELECT 1 FROM public.tenants WHERE id = p_tenant_id) THEN RAISE EXCEPTION 'tenant não encontrado' USING ERRCODE = '22023'; END IF; -- ─────────────────────────────────────────────────────────────────────── -- Plano permite essa feature? -- ─────────────────────────────────────────────────────────────────────── SELECT EXISTS ( SELECT 1 FROM public.v_tenant_entitlements vte WHERE vte.tenant_id = p_tenant_id AND vte.feature_key = v_feature_key ) INTO v_plan_allows; v_is_exception := (p_enabled = true AND NOT v_plan_allows); -- ─────────────────────────────────────────────────────────────────────── -- Caller é tenant_admin desse tenant? -- ─────────────────────────────────────────────────────────────────────── v_is_tenant_adm := EXISTS ( SELECT 1 FROM public.tenant_members tm WHERE tm.tenant_id = p_tenant_id AND tm.user_id = v_caller AND tm.status = 'active' AND tm.role IN ('tenant_admin','admin','owner') ); -- ─────────────────────────────────────────────────────────────────────── -- Autorização (assimétrica — V#34 Opção B2) -- ─────────────────────────────────────────────────────────────────────── IF v_is_exception THEN -- Override positivo fora do plano = exceção comercial IF NOT v_is_saas THEN RAISE EXCEPTION 'Apenas saas_admin pode liberar feature fora do plano' USING ERRCODE = '42501'; END IF; IF v_reason IS NULL THEN RAISE EXCEPTION 'reason obrigatório para exceção comercial' USING ERRCODE = '22023'; END IF; ELSE -- Demais casos: tenant_admin OR saas_admin IF NOT (v_is_saas OR v_is_tenant_adm) THEN RAISE EXCEPTION 'Sem permissão para alterar features deste tenant' USING ERRCODE = '42501'; END IF; END IF; -- ─────────────────────────────────────────────────────────────────────── -- Persistência: bypass controlado do trigger guard quando é exceção -- (escopo de transação via SET LOCAL — só esta RPC vê) -- ─────────────────────────────────────────────────────────────────────── IF v_is_exception THEN PERFORM set_config('app.allow_feature_exception', 'true', true); END IF; INSERT INTO public.tenant_features (tenant_id, feature_key, enabled, updated_at) VALUES (p_tenant_id, v_feature_key, p_enabled, now()) ON CONFLICT (tenant_id, feature_key) DO UPDATE SET enabled = EXCLUDED.enabled, updated_at = now(); -- Restaura flag (defensivo — SET LOCAL já é por transação, mas explicito) IF v_is_exception THEN PERFORM set_config('app.allow_feature_exception', 'false', true); END IF; INSERT INTO public.tenant_feature_exceptions_log (tenant_id, feature_key, enabled, reason, created_by) VALUES (p_tenant_id, v_feature_key, p_enabled, v_reason, v_caller); RETURN jsonb_build_object( 'tenant_id', p_tenant_id, 'feature_key', v_feature_key, 'enabled', p_enabled, 'plan_allows', v_plan_allows, 'is_exception', v_is_exception, 'reason', v_reason ); END; $function$; REVOKE ALL ON FUNCTION public.set_tenant_feature_exception(uuid, text, boolean, text) FROM PUBLIC; GRANT EXECUTE ON FUNCTION public.set_tenant_feature_exception(uuid, text, boolean, text) TO authenticated; -- ───────────────────────────────────────────────────────────────────────── -- 3. Policy: writes diretos só via saas_admin -- (tenant_admin agora muda só via RPC set_tenant_feature_exception) -- ----------------------------------------------------------------------------- DROP POLICY IF EXISTS tenant_features_write ON public.tenant_features; DROP POLICY IF EXISTS tenant_features_write_saas_only ON public.tenant_features; CREATE POLICY tenant_features_write_saas_only ON public.tenant_features FOR ALL TO authenticated USING (public.is_saas_admin()) WITH CHECK (public.is_saas_admin());