agenciapsilmno/commit.md

# Sessões 1-6 acumuladas — hardening, defesa em profundidade, +192 testes

Repositório estava sem commit há ~5 sessões de trabalho intenso. Este commit
consolida tudo que foi feito desde o último marco (`d088a89`).

**A# auditoria:** 30 itens registrados, **0 abertos**.
**V# verificações:** 52 registradas (10 novas em Documentos), **5 abertas** (todas adiadas com plano).
**T# testes:** 10/10 escritas. **192 vitest + 33 SQL + 5 E2E** passando.

---

## Sessão 1 — auth/router/session

- A#7 resolvido (`window.__guardsBound`)
- 10 verificações registradas (V#1–V#10), 5 corrigidas:
  - `session.js` logger inconsistente
  - `tenantStore.ensureLoaded` polling
  - `normalizeRole` duplicado → extraído pra `src/utils/roleNormalizer.js`
  - `console.error` em `router/index.js`
  - `.single()` em `fetchRole`

---

## Sessão 2 — agenda

- 11 verificações (V#11–V#21), 10 corrigidas:
  - `useRecurrence` CRUD ganhou filtro `tenant_id` (alto)
  - `agenda.service.js` vazio deletado
  - `agendaRepository` ↔ `useAgendaEvents` consolidados (composable virou wrapper fino, 181→67 linhas)
  - `AGENDA_EVENT_SELECT` centralizado em `agendaSelects.js`
  - `_tenantGuards.js` compartilhado
  - V#21 status `remarcar` → `remarcado` padronizado em 14 edições

---

## Sessão 3 — pacientes

- 10 verificações (V#22–V#31), 6 corrigidas + 4 documentadas
- 5 arquivos obsoletos deletados (PatientsCadastroPage Bkp, preview, prontuário design 1/2/3)
- `tenant_id` em todas queries de patients (alto)
- 9 `console.*` migrados pra logger
- `hydrateAssociations` paralelizada (5 round-trips → 2)
- `.maybeSingle()` onde precisava

---

## Sessão 4 — security review (página pública de cadastro)

- V#31 virou security review completa: **15 vulnerabilidades (A#15–A#29), 14 corrigidas**
- **Críticos:**
  - **A#15** bucket `avatars` público → 5MB + mime whitelist + policies restritas
  - **A#16** RPC v2 ignorava `active/expires/max_uses` → validação completa + incrementa `uses`
  - **A#17** `notas_internas` exposto ao paciente → removido do form e RPC
  - **A#18** `Math.random()` pra token → RPCs server-side via `gen_random_uuid()`
  - **A#19** intake sem `tenant_id` → RPC resolve via `patient_invites` ou `tenant_members`
- **Médios:** log `patient_invite_attempts` (A#24), política LGPD (A#25), botão mock só em DEV (A#26), length caps server-side (A#27)
- **Baixos:** duplicado `PatientsExternalLinkPage` deletado, `Landingpage-v1 - bkp.vue` deletado

---

## Sessão 5 — SaaS (planos, preços, recursos)

- 10 verificações (V#33–V#42)
- **🔴 P0:** A#30 — 7 tabelas SaaS com RLS OFF + `GRANT ALL` pra anon. Migration `...05_saas_rls_emergency_fix` aplicou REVOKE + ENABLE RLS + 9 policies corretas
- 109/109 testes passando

---

## Sessão 6 (HOJE, 2026-04-19) — bloco principal

### V#34 + V#41 — Opção B2 (plano + override + exceção comercial)

Resolve `tenantFeaturesStore.isEnabled` que retornava `true` por default
(qualquer feature aparecia ativa pra qualquer tenant) E a dupla-fonte com
`entitlementsStore`.

**Backend** (migration `...01`):
- Trigger `tenant_features_guard_with_plan` ganhou bypass via session flag
- RPC `set_tenant_feature_exception` SECURITY DEFINER com regras assimétricas:
  - `enabled=false` → tenant_admin OU saas_admin (preferência)
  - `enabled=true` AND plano permite → tenant_admin OU saas_admin
  - `enabled=true` AND plano NÃO permite → **só saas_admin + reason obrigatório**
- Policy `tenant_features_write_saas_only`

**Frontend:**
- `tenantFeaturesStore.isEnabled` reescrito (B2): override negativo desliga, override positivo liga (exceção), sem override segue plano
- `setForTenant` chama RPC com `reason`
- Tela nova `/saas/tenant-features` com dialog de motivo obrigatório
- JSDoc separação semântica: `entitlementsStore.has` = "plano permite?" vs `tenantFeaturesStore.isEnabled` = "ativo agora?"
- 17 testes em `tenantFeaturesStore.spec.js`

### Pendentes Sessão 5 fechados

- **V#35** — 17→11 policies (consolidadas plans/features/plan_features/subscriptions) + `COMMENT ON POLICY`
- **V#36** — RPC `delete_plan_safe` bloqueia DELETE com subscriptions ativas
- **V#40** — `features.is_active` (soft delete) + UI com filtro/Reativar
- **V#42** — `entitlementsStore.loadFor*` no catch não marca como carregado + `logError`

### Testes T#5/T#7/T#8

- **T#5** `tenantStore.spec.js` — 15 testes (singleflight, regressão V#5, erros, setActiveTenant, reset, getters)
- **T#7** `validators.spec.js` — 38 testes (sanitização do intake)
- **T#8** `database-novo/tests/run.cjs` — runner Node + docker exec, 33 cenários SQL

### A#20 (CAPTCHA) — rev2 self-hosted

**Decisão:** descartado Cloudflare Turnstile / hCaptcha em favor de defesa em
camadas self-hosted. Razões: zero LGPD, zero provider, zero fricção pro paciente
legítimo (UX importa em paciente vulnerável buscando atendimento).

**5 camadas:**
1. **Honeypot** — campo invisível
2. **Validação** básica
3. **Rate limit por IP** — `check_rate_limit` RPC
4. **Math captcha condicional** — só ativa após N falhas (default 3)
5. **Modo paranoid** global toggle

**Implementação:**
- Migrations `...06` (4 tabelas) + `...07` (RPCs)
- Edge function `submit-patient-intake` reescrita (dual endpoint)
- Componente `MathCaptchaChallenge.vue` lazy
- Tela `/saas/security` com card explicativo (6 seções), KPIs 24h, toggles, sliders, dashboard de IPs

### SaaS Twilio Config (UI editável)

- Migration `...08` (singleton + RPCs `get_twilio_config`/`update_twilio_config`)
- **AUTH_TOKEN permanece em env var** (único secret); SID/webhook/rate/margem migram pra DB
- Edge function lê do banco com fallback pra env (back-compat)
- Tela `/saas/twilio-config` com card + status do AUTH_TOKEN
- Bug fix: `friendlyErrorMessage()` traduz "Edge Function returned a non-2xx status code"

### Revisão sênior em Documentos/prontuários

10 V# novas registradas, 7 corrigidas, 3 adiadas.

**Críticos:**
- 🔴 **V#43/V#44** vazamento entre clínicas via storage policies — corrigido com tenant scoping no path `(storage.foldername(name))[1]::uuid IN tenant_members`
- 🔴 **V#45** documents policy pobre (só `owner_id = auth.uid()`) — separada em SELECT/INSERT/UPDATE/DELETE com tenant scoping

**Altos:**
- 🟠 **V#46** share_links sem incremento de usos — RPC `validate_share_token` atomicamente valida + incrementa + loga
- 🟠 **V#47** signatures policy ALL — separada (UPDATE só pra signatário)

**Médios:**
- 🟡 **V#48** access_logs WITH CHECK
- 🟡 **V#49** templates WITH CHECK

### B-block (V# avulsos)

- **V#2** Listener `onAuthStateChange` consolidado (session.js virou autoridade + API `onSessionEvent`)
- **V#6** `globalRoleCache` TTL 5min
- **V#10** Bloqueio SaaS via `meta.area`/`meta.saasAdmin` em vez de `path.startsWith`
- **V#8** RPC `get_patient_session_counts` substitui `.limit(1000)` arbitrário
- **V#9 router** short-circuit `lastEnsureKey` em ensureMenuBuilt
- **V#17** 25 `console.*` eliminados em src/views/pages/saas/
- **V#18** TTL real em tenantFeaturesStore

### T#9 + T#10

- **T#9** `useAgendaEvents.spec.js` — 13 testes do wrapper
- **T#10** Playwright + Chromium instalados; 5 specs E2E em `e2e/patient-intake.spec.js`
- **Bug fix achado pelo E2E**: `CadastroPacienteExterno.enviar` não extraía body do erro 403 — corrigido

---

## 📦 Migrations consolidadas (todas as sessões)

```
20260417000001_dev_tables                          (Sessão pré-1: tabelas dev)
20260417000002_dev_tables_ordem
20260418000001_dev_verificacoes                    (Sessão 1)
20260418000002_patient_intake_security_hardening   (Sessão 4)
20260418000003_patient_invite_attempts_log         (Sessão 4)
20260418000004_dev_tests                           (Sessão 1)
20260418000005_saas_rls_emergency_fix              (Sessão 5 — P0)
20260419000001_tenant_features_b2_governance       (Sessão 6 — V#34/V#41)
20260419000002_features_is_active                  (Sessão 6 — V#40)
20260419000003_delete_plan_safe                    (Sessão 6 — V#36)
20260419000004_consolidate_policies                (Sessão 6 — V#35)
20260419000005_restrict_intake_rpc                 (Sessão 6 — A#20)
20260419000006_layered_bot_defense                 (Sessão 6 — A#20 rev2)
20260419000007_bot_defense_rpcs                    (Sessão 6 — A#20 rev2)
20260419000008_saas_twilio_config                  (Sessão 6)
20260419000009_patient_session_counts_rpc          (Sessão 6 — V#8)
20260419000010_documents_security_hardening        (Sessão 6 — V#43-V#49)
```

---

## 🆕 Pastas/arquivos novos importantes

- `e2e/` — specs Playwright (T#10)
- `playwright.config.js` — config E2E
- `database-novo/tests/run.cjs` — runner SQL integration tests (T#8)
- `database-novo/backups/` agora ignorado (regenerável via `db.cjs backup`)
- `src/components/security/MathCaptchaChallenge.vue` — A#20 rev2
- `src/views/pages/saas/SaasTenantFeaturesPage.vue` — V#34
- `src/views/pages/saas/SaasSecurityPage.vue` — A#20 rev2 + card educativo
- `src/views/pages/saas/SaasTwilioConfigPage.vue` — UI Twilio editável
- `src/utils/roleNormalizer.js` — Sessão 1
- `src/features/agenda/services/_tenantGuards.js` + `agendaSelects.js` — Sessão 2
- 6 specs novas em `__tests__/` (vitest)
- `supabase/functions/submit-patient-intake/` — edge function reescrita A#20 rev2

---

## 🛠️ .gitignore ajustado neste commit

- `supabase/*` + `!supabase/functions/` (mantém edge functions, ignora `.temp/`/`migrations/`/etc gerados pelo CLI)
- `database-novo/backups/` (backups regeneráveis)
- `test-results/`, `playwright-report/` (outputs Playwright)
- `.claude/settings.local.json` (config local do harness)

---

## 📊 Números finais

| Métrica | Início | Fim |
|---|---|---|
| A# abertos | 30 (a registrar) | **0** |
| V# abertos | 52 (a registrar) | **5** (adiados) |
| T# escritas | 0/10 | **10/10** |
| Vitest | — | **192/192** |
| SQL integration | — | **33/33** |
| E2E (Playwright) | — | **5/5** |
| Migrations | 0 | **17** |
| Telas SaaS novas | — | 3 |
| Edge functions reescritas | — | 1 (`submit-patient-intake`) |

---

## ⚠️ Adiados (próximas sessões — plano completo no DB)

- **V#3 + V#9 pacientes** — refatoração de composables/services (PatientsCadastroPage 1985 linhas). Sessão dedicada de 1-2h
- **V#50/V#51/V#52 documentos** — portal-paciente policy, hash SHA-256, retention cron
- **Áreas não auditadas:** financeiro, comunicação
- **Deploy real**: cloud Supabase + secrets + edge functions