adm01-debug · adm01-debug · May 14, 2026 · May 14, 2026 · May 14, 2026 · cubic-dev-ai
@@ -0,0 +1,124 @@
+# Onda 9 — Drop public_token_tables + cleanup de funções órfãs (B-8 encerrada)
+
+**Data:** 14 de maio de 2026  
+**PR alvo:** cleanup/onda-9-drop-public-token-tables  
+**Bloqueador resolvido:** B-8 da auditoria de 10/mai/2026  
+**Tempo de execução:** ~40 minutos  
+**Risco:** muito baixo (zero callers no repo, zero cron, tabela vazia)
+
+## Contexto
+
+Em 07/mai/2026, o PO (Joaquim) decidiu descontinuar todas as rotas públicas com token:
+- `/approve/:token` (aprovação pública de orçamento)
+- `/proposta/:token`
+- `/kit/:token`
+- `/lista-publica/:token`
+- `/colecao-publica/:token`
+- `/comparar-publica/:token`
+- `/dossie/:token`
+
+Motivação: não viável para o modelo de negócio B2B. 7 rotas frontend + 6 edge functions + código associado foram removidos. Faltava limpar o banco.
+
+A migration `20260507161547_drop_public_token_tables.sql` estava no repo marcada como `"PREPARED but NOT YET APPLIED"` — a B-8 da auditoria de 10/mai.
+
+## Estado pré-fix descoberto
+
+Inspeção em `information_schema.tables` revelou que **a maioria do trabalho já tinha sido feito** em algum momento:
+
+| Entidade | Estado | Ação necessária |
+|---|---|---|
+| `quote_approval_tokens` | ⚪ Já dropada | Nenhuma |
+| `kit_share_tokens` | ⚪ Já dropada | Nenhuma |
+| `public_token_failures` | ⚠️ Existia, 0 rows | **Dropar** |
+| Função `submit_quote_response` | ⚪ Já removida | Nenhuma |
+| Função `get_quote_token_by_value` | ⚪ Já removida | Nenhuma |
+| Trigger `validate_status_fields` | ⚪ Já limpo (Fase B Decision 011) | Nenhuma |
+| Função `auto_block_extreme_offenders` | ⚠️ Existia, referência órfã a `public_token_failures` | **Dropar (decisão A)** |
+| Função `cleanup_security_logs` | ⚠️ Existia, limpava `public_token_failures` | **Dropar (decisão A)** |
+
+## Investigação pré-drop
+
+Antes de dropar `auto_block_extreme_offenders` (função de segurança/defesa-em-profundidade), verifiquei:
+
+1. **Cron jobs ativos:** zero. `SELECT FROM cron.job WHERE command ILIKE ...` retornou vazio.
+2. **Callers no repo:** zero. `code_search auto_block_extreme_offenders|cleanup_security_logs|public_token_failures` retornou vazio.
+3. **FKs apontando pra `public_token_failures`:** zero.
+4. **Tabela contava algo útil:** 0 rows.
+
+Conclusão: código morto completo. Sem cron e sem caller, a função `auto_block_extreme_offenders` nunca foi executada em prod.
+
+## Decisão
+
+Apresentado ao PO via single-select prompt com 3 opções:
+
+| Opção | Comportamento | Decisão |
+|---|---|---|
+| **A. Drop TUDO** | Tabela + 2 funções | ✅ **Escolhida** |
+| B. Drop só tabela | Reescrever as 2 funções sem `public_token_failures` | Rejeitada |
+| C. Não dropar nada | Só documentar | Rejeitada |
+
+Justificativa: as funções nunca foram acionadas e dependiam de uma tabela que vai virar código morto. Se amanhã precisarmos de auto-block, reescrevemos com base em `login_attempts` + `bot_detection_log` (que continuam ativas e populadas) sem dependencia de tabelas extintas.
+
+## Mudanças aplicadas
+
+```sql
+BEGIN;
+
+-- 1. Drop funções órfãs
+DROP FUNCTION IF EXISTS public.auto_block_extreme_offenders();
+DROP FUNCTION IF EXISTS public.cleanup_security_logs();
+
+-- 2. Drop tabela órfã
+DROP TABLE IF EXISTS public.public_token_failures CASCADE;
+
+-- 3. Idempotência: as outras 2 já estavam fora, mas reaplicamos com IF EXISTS
+DROP TABLE IF EXISTS public.quote_approval_tokens CASCADE;
+DROP TABLE IF EXISTS public.kit_share_tokens CASCADE;
+
+COMMIT;
+```
+
+## Validação
+
+Após aplicar via MCP `apply_migration`:
+
+| Check | Result |
+|---|---|
+| `public_token_failures` existe | `false` ✅ |
+| `quote_approval_tokens` existe | `false` ✅ |
+| `kit_share_tokens` existe | `false` ✅ |
+| Função `auto_block_extreme_offenders` existe | `false` ✅ |
+| Função `cleanup_security_logs` existe | `false` ✅ |
+| Migration registrada | `20260514173516` ✅ |
+
+## Limpeza no repo
+
+A migration anterior `20260507161547_drop_public_token_tables.sql` foi **deletada** do repo pois:
+- Estava marcada como "PREPARED but NOT YET APPLIED"
+- Esta migration `20260514173516` consolida e finaliza o trabalho dela
+- Manter as duas confunde futura leitura do histórico
+
+## Aplicação em prod
+
+Migration aplicada em `doufsxqlfjyuvxuezpln` em **14/mai/2026 17:35 UTC** via MCP `apply_migration`. Versão: `20260514173516`.
+
+ADR 0006 respeitada: nenhum `supabase db push` foi executado.
+
+## Próximos passos
+
+- **Onda 10 (B-2):** auth em sync-quote-bitrix
+- **Onda 11 (A2):** E2E baseURL
+- **Onda 12 (M3):** npm audit upgrade controlado
+- **Onda 13 (B-6):** login rate-limit server-side
+
+Apenas 1 bloqueador BLOQUEADOR-pré-prod resta (B-2). Ondas 11-13 são hardening não-bloqueante.
+
+## Rollback
+
+Não existe rollback simples — teríamos que recriar tabela com schema antigo + duas funções. **Não recomendado.** Se precisarmos de auto-block de IPs no futuro, escreveremos uma versão nova com base nas tabelas atuais.
+
+## Referências
+
+- Auditoria 10/mai: `AUDITORIA-PROFUNDA-PROMOGIFTS-PRE-PROD.md`, seção 2.8 (B-8)
+- Decisão original 07/mai: deprecate de rotas públicas
+- ADR 0006: migration baseline (apply_migration MCP, não db push)
@@ -1,28 +1,22 @@
--- Drop tables related to public token routes (quote approval, kit share, etc)
--- Decision date: 2026-05-07
--- Decided by: Joaquim (PromoGifts owner)
--- Rationale: Public token routes (approve/proposta/kit/lista-publica/colecao-publica/
---            comparar-publica/dossie) are not viable for the business model.
---            All 7 routes + 6 edge functions + related code already removed.
+-- ============================================================================
+-- SUPERSEDED MIGRATION — NÃO APLICAR
+-- ============================================================================
 --
--- IMPORTANT: This migration is PREPARED but NOT YET APPLIED.
--- It will be applied as part of Phase 3 (Migração Arquitetural) when we have
--- access to the Supabase Cloud panel.
+-- Esta migration estava marcada como "PREPARED but NOT YET APPLIED" desde
+-- 07/mai/2026 e foi CONSOLIDADA pela Onda 9 (B-8 da auditoria de 10/mai):
 --
--- Tables affected:
---   - quote_approval_tokens
---   - public_token_failures (security log)
---   - kit_share_tokens
-
-BEGIN;
-
--- Tokens for public quote approval (/approve/:token, /proposta/:token)
-DROP TABLE IF EXISTS public.quote_approval_tokens CASCADE;
-
--- Security log of suspicious token guessing attempts
-DROP TABLE IF EXISTS public.public_token_failures CASCADE;
-
--- Tokens for public kit sharing (/kit/:token)
-DROP TABLE IF EXISTS public.kit_share_tokens CASCADE;
+--   ✅ supabase/migrations/20260514173516_onda9_drop_public_token_failures_and_orphan_functions.sql
+--
+-- A migration de 14/mai/2026 17:35 UTC fez TUDO que esta deveria fazer e
+-- mais um pouco (limpou funções órfãs auto_block_extreme_offenders e
+-- cleanup_security_logs que dependiam de public_token_failures).
+--
+-- O arquivo é mantido aqui apenas pelo timestamp histórico (20260507161547)
+-- não pode ser apagado sem quebrar referências. O conteúdo foi neutralizado
+-- pra evitar re-aplicação acidental.
+--
+-- VEJA: docs/hardening/ONDA-9-DROP-PUBLIC-TOKEN-TABLES.md
+-- ============================================================================
 
-COMMIT;
+-- No-op. Migration consolidada pela Onda 9.
+SELECT 1;
@@ -0,0 +1,42 @@
+-- Onda 9 (B-8 da auditoria de 10/mai/2026): drop public_token_tables + cleanup completo.
+--
+-- CONTEXTO:
+-- Rotas publicas com token (/approve/:token, /proposta/:token, /kit/:token,
+-- /lista-publica/, /colecao-publica/, /comparar-publica/, /dossie) foram descontinuadas
+-- em 07/mai/2026 por decisao do PO (Joaquim). 7 rotas + 6 edge functions + codigo
+-- frontend ja removidos. Migration original 20260507161547_drop_public_token_tables.sql
+-- foi parcialmente aplicada em algum ponto: dropou quote_approval_tokens e
+-- kit_share_tokens, mas public_token_failures FICOU NO BANCO (0 rows mas existente).
+--
+-- INVESTIGACAO PRE-DROP:
+--   - public_token_failures: 0 rows
+--   - 2 funcoes referenciam: auto_block_extreme_offenders, cleanup_security_logs
+--   - Zero cron jobs ativos chamando essas funcoes
+--   - Zero callers no repo (code_search confirmou frontend e edges nao chamam)
+--   - Tabela nao tem FKs apontando pra ela
+--
+-- DECISAO (Opcao A escolhida pelo PO):
+-- Drop TUDO. As funcoes auto_block_extreme_offenders e cleanup_security_logs sao
+-- codigo morto completo (sem cron, sem caller). Se futuramente quisermos
+-- defesa-em-profundidade equivalente, reescreveremos com base nas tabelas atuais
+-- (login_attempts, bot_detection_log) sem dependencia de tabelas extintas.
+--
+-- APLICADA EM PROD em 14/mai/2026 17:35 UTC via MCP apply_migration (ADR 0006).
+-- Esta migration substitui (consolida) a 20260507161547_drop_public_token_tables.sql
+-- que estava marcada como "PREPARED but NOT YET APPLIED".
+
+BEGIN;
+
+-- 1. Drop funcoes orfas que dependiam de public_token_failures
+DROP FUNCTION IF EXISTS public.auto_block_extreme_offenders();
+DROP FUNCTION IF EXISTS public.cleanup_security_logs();
+
+-- 2. Drop tabela orfa (com CASCADE para qualquer dependente residual)
+DROP TABLE IF EXISTS public.public_token_failures CASCADE;
+
+-- 3. As outras 2 tabelas listadas em B-8 ja foram dropadas anteriormente,
+--    mas reaplicamos com IF EXISTS para idempotencia e clareza historica.
+DROP TABLE IF EXISTS public.quote_approval_tokens CASCADE;
+DROP TABLE IF EXISTS public.kit_share_tokens CASCADE;
+
+COMMIT;