hardening(db): sync migrations git ↔ prod schema_migrations + fix profiles.user_id

docs/hardening/MIGRATION-SYNC-2026-05-15.md

@@ -0,0 +1,99 @@
+# Migration Sync — 2026-05-15
+
+**Branch**: `hardening/migration-sync-2026-05-15`
+**Operador**: Claude (sessão Joaquim PO)
+**Objetivo**: Eliminar drift entre `supabase/migrations/` (git) e `supabase_migrations.schema_migrations` (prod), causa raiz do gate **Supabase Preview** falhando com `Remote migration versions not found in local migrations directory`.
+
+---
+
+## Resumo executivo
+
+| Métrica | Antes | Depois |
+|---|---|---|
+| Versions distintas em git (>= 20260514230000) | 17 (mas com timestamps que NÃO casavam com prod) | **17** |
+| Versions em prod schema_migrations (>= 20260514230000) | 17 | **17** |
+| Paridade git ↔ prod | **❌ 7 desalinhadas + 5 ausentes em prod + 1 duplicata em git** | **✅ 100%** |
+| Migrations órfãs (no git mas não em prod) | 5 | 0 |
+| Migrations com timestamp errado (git vs prod) | 7 | 0 |
+| Arquivos duplicados em git | 1 (`fix_audit_ownership_*`) | 0 |
+
+---
+
+## Operações executadas
+
+### Em prod (via `execute_sql` no Supabase MCP)
+
+1. **Aplicação physical** do efeito da migration `20260515040001_fix_profiles_user_id_definitive` — coluna `profiles.user_id` não existia em prod apesar de o frontend referenciar em 7 lugares (SecurityDashboard, RoleAuditLogPanel, useUserManagement, RecentAuditTable, RoleMigrationPanel, useAutoRevocations). Pré-flight: 8 profiles, 8 auth.users, FK `profiles_id_fkey` íntegra, zero órfãos.
+   - `ADD COLUMN user_id UUID REFERENCES auth.users(id) ON DELETE CASCADE`
+   - `UPDATE SET user_id = id` (8/8 backfilled)
+   - `ADD CONSTRAINT profiles_user_id_key UNIQUE (user_id)`
+   - `DROP CONSTRAINT profiles_id_fkey`
+   - `ALTER COLUMN id SET DEFAULT gen_random_uuid()`
+   - 3 policies "Users can {view,update,insert} their own profile"
+   - `ENABLE ROW LEVEL SECURITY`
+
+2. **INSERT em `supabase_migrations.schema_migrations`** (ON CONFLICT DO NOTHING) de 5 versões cujo efeito physical já estava em prod mas sem registro:
+
+   | Version | Name | Como validei o efeito physical |
+   |---|---|---|
+   | `20260515040001` | `fix_profiles_user_id_definitive` | aplicado no passo 1 acima |
+   | `20260515120000` | `t40_fix_error_advisor_violations` | RLS enabled nas 2 tabelas existentes (das 10 alvo; 8 são `EXCEPTION WHEN undefined_table THEN NULL`) |
+   | `20260515123000` | `t40b_harden_get_edge_function_secret_acl` | ACL = `{postgres=X/postgres,service_role=X/postgres}` ✓ |
+   | `20260515130000` | `revoke_org_has_any_members_public` | sem anon/PUBLIC EXECUTE ✓ |
+   | `20260515150000` | `onda20_fix_t38_regression_and_bilateral_gate` | `is_admin_or_above`/`is_coord_or_above` mantêm EXECUTE TO authenticated ✓ |
+
+### No git (este PR)
+
+**6 renames** (timestamp do filename realinhado pra bater com prod):
+
+| De | Para |
+|---|---|
+| `20260514230000_onda16_drop_legacy_email_like_admin_policies.sql` | `20260514233703_onda16_drop_legacy_email_like_admin_policies.sql` |
+| `20260515000000_onda17_fn_quotes_recalc_subtotal_completo.sql` | `20260514235639_onda17_fn_quotes_recalc_subtotal_completo.sql` |
+| `20260515010000_onda18a_quote_isolation_rls.sql` | `20260515005303_onda18a_quote_isolation_rls.sql` |
+| `20260515020000_onda18b_backfill_user_organizations.sql` | `20260515005356_onda18b_backfill_user_organizations.sql` |
+| `20260515030000_onda19_numeric_precision.sql` | `20260515020250_onda19_numeric_precision.sql` |
+| `20260515040000_onda19_followup_track_functions_fix_view_security.sql` | `20260515103945_onda19_followup_track_functions_fix_view_security.sql` |
+
+**1 deleção**: `20260515120000_fix_audit_ownership_orphans_uuid_only.sql` (duplicata de `20260515124035_fix_audit_ownership_orphans_only_uuid_columns.sql` — mesma função SQL, só comentários diferentes; este último já era a versão oficial trackeada em prod).
+
+---
+
+## Causa raiz do drift
+
+Histórico construído ao longo de várias sessões:
+
+1. Migrations aplicadas via `apply_migration` MCP **geram timestamp da hora da execução**, NÃO baseado no filename. Ex.: arquivo `20260515010000_onda18a_quote_isolation_rls.sql` foi aplicado em prod e registrado como version `20260515005303` (timestamp do `apply_migration` call).
+2. Quando o filename foi commitado depois no git, ficou desalinhado.
+3. PR #229 introduziu placeholders `<timestamp>_applied_to_production.sql` pra resolver versions órfãs em prod — funcionou parcial. Faltaram registros para 5 migrations (incluindo `fix_profiles_user_id_definitive` que nunca rodou physical).
+4. Resultado: gate **Supabase Preview** continuou falhando porque (a) git tinha versions que NÃO existiam em prod e (b) prod tinha versions que não tinham arquivo SQL real no git (só placeholder).
+
+---
+
+## Validação final
+
+Em **2026-05-15**, post-execução:
+
+- `SELECT DISTINCT version FROM supabase_migrations.schema_migrations WHERE version >= '20260514230000'` retorna **17 versions**, idênticas (timestamp + nome) às do filename em `supabase/migrations/` na branch deste PR.
+- `profiles.user_id` existe, está backfilled (8/8), UNIQUE constraint criada, 3 policies RLS recriadas.
+- Pré-prod blockers B-1 a B-9 continuam fechados (validados na auditoria que precedeu esta operação).
+
+---
+
+## Pendências NÃO endereçadas neste PR
+
+| Item | Status | Onde |
+|---|---|---|
+| 10 itens manuais de go-live (Sentry DSN, MFA, transferir Lovable, etc.) | aguardando PO | auditoria pré-prod de 15/mai |
+| Cobertura de testes 26% real vs target 60% | report-only | gate `coverage` (PR #227) |
+| F2 PR-B (drop 10 backup tables + 2 `_unif_*`) | pendente decisão | F2 cleanup banco |
+| PAT GitHub `github_pat_11BXDMV7Q0CbI9L78vrLi...` exposto no remote VPS | aguardando revogação | manual |
+
+---
+
+## Padrões técnicos seguidos
+
+- HTTP MCP Worker `https://github-mcp-server.adm01.workers.dev/mcp` para PR (git push direto / `gh` CLI / `github_create_pull_request` MCP padrão dão 403).
+- Email `claude-code@atomicabr.com.br` no commit (Vercel rejeita outros).
+- Squash merge.
+- Operações physical no banco via `execute_sql` (NÃO `apply_migration`, que criaria entrada nova no schema_migrations com timestamp errado de novo).