F10 — Permitir acesso ao painel administrativo
IT1 · Rastreabilidade: F10 · CP5 · OE2
Issue da Feature (GitHub): #57 — abrir no GitHub
Esta funcionalidade exige login de administrador.
E-mail: owner@crianex.com · Senha: Crianex@Owner1
Requisitos (evidências)
Selecione um requisito na navegação abaixo. Cada um traz seus critérios de aceite, regras de negócio e um espaço para o screenshot da funcionalidade em funcionamento (substitua a imagem de placeholder pela captura real).
- RF10
- RF48
- RNF01
- RNF09
- DoR
- DoD
RF10 — Acessar painel administrativo
Critérios de aceite (BDD)
- Dado JWT válido com
role = owner, quando GET/admin/dashboard, então o RLS filtra porauth.uid()e o painel é renderizado com acesso irrestrito. - Dado
membercom permissão de visualização (v) no módulo, quando acessar, então o conteúdo é renderizado; sem a permissão, o acesso é negado. - Dado JWT expirado, quando acesso ao painel, então tenta
refreshSession(); se falhar, redireciona para/admin/login. - Dado token sem permissão, quando GET de rota admin, então retorna 401/403 e redireciona sem expor a estrutura.
- Dado membro
status = inactive, quando acessar rota protegida, então o acesso é bloqueado.
Regras de negócio: RN03 — Controle de acesso modular por permissão (v/e/a) · RN04 — Owner com acesso irrestrito a todos os módulos · RN05 — Membro inativo bloqueado no painel
Evidência (screenshot):

Deploy: link a definir
RF48 — Editar próprio perfil no painel
Critérios de aceite (BDD)
- Dado admin autenticado, quando editar o próprio perfil, então PATCH
/profile/meatualiza os dados sem reload. - Dado troca de senha, quando submeter em
/profile/me/password, então exige validação de força e confirmação antes de persistir. - Dado dados inválidos (ex.: e-mail malformado), quando submeter, então a validação impede e nada é persistido.
- Dado tentativa de editar perfil de outro usuário, quando a requisição chega, então o RLS permite apenas auto-edição (self-edit).
Regras de negócio: RN17 — Autogestão do perfil próprio (cada usuário edita apenas os próprios dados, sem acessar perfis de terceiros)
Evidência (screenshot):
Deploy: link a definir
RNF01 — Isolamento de acesso administrativo
Classificação: Segurança
Descrição: Toda rota do painel administrativo é servida em endpoint/caminho distinto do site público e exige token de sessão (JWT) válido; requisições sem token válido recebem HTTP 401/403 e nunca renderizam dados administrativos, mesmo parcialmente.
Evidência (screenshot):

Verificação: Resultados V&V da IT1
RNF09 — Controle de acesso por linha (RLS)
Classificação: Segurança
Descrição: Toda tabela com dados sensíveis (clientes, leads, notificações, membros) tem política de Row Level Security ativa no banco, restringindo leitura/escrita ao perfil autorizado mesmo em acesso direto ao banco; verificado por teste com credencial de perfil não autorizado.
Evidência (screenshot):
Verificação: Resultados V&V da IT1
Definition of Ready — Evidências
Checklist do DoR aplicado à F10 antes de entrar em execução. Todos os itens foram atendidos conforme o critério definido em DoR e DoD.
| Critério DoR | Status | Evidência |
|---|---|---|
Título no padrão FDD <ação> <resultado> <de/para/no/com> <objeto> | ✅ | Issue #57 — título conforme o padrão |
| Critérios de aceite escritos e verificáveis (Given/When/Then) | ✅ | Ver abas RF/RNF desta página — todos os cenários BDD documentados |
| Estimativa registrada: VB, CX e IP calculados | ✅ | Priorização do Backlog — coluna IP da tabela de features |
| Dependências identificadas; bloqueantes resolvidos | ✅ | Mapa de Dependências — IT1 — bloqueantes verificados antes do início |
| Class Owner designado e linkada à Feature parent e à CP de origem | ✅ | Issue #57 — assignees e labels de CP/Feature registrados |
| Protótipo revisado pelo cliente | ✅ | Protótipo de Alta Fidelidade — IT1 |
| Technical Design Review (TDR) concluída | ✅ | Design Técnico IT1 — diagramas leves e feature cards elaborados |
| Ao menos um critério de segurança ou usabilidade identificado | ✅ | Ver aba RNF desta página |
Definition of Done — Evidências
Checklist do DoD verificado ao encerrar a F10. Todos os itens foram atendidos antes de mover a issue para Done no Kanban.
| Critério DoD | Status | Evidência |
|---|---|---|
| Critérios de aceite validados (BDD cobertos) | ✅ | Issue #57 — evidências anexadas na descrição da issue |
| Testes automatizados passando (unitários + integração) | ✅ | Issue #57 — evidências anexadas na descrição da issue |
| Lint sem erros e formatação OK (ESLint + Prettier) | ✅ | Issue #57 — evidências anexadas na descrição da issue |
| CI verde (build + testes + lint) | ✅ | Issue #57 — evidências anexadas na descrição da issue |
| PR aprovado por Chief Programmer ou Project Manager | ✅ | Issue #57 — PR de resolução com approve registrado |
| Migration de banco | — | Não aplicável para esta feature |
| Sem vulnerabilidades críticas (SAST/linting de segurança) | ✅ | Issue #57 — evidências anexadas na descrição da issue |
| Validação parcial do cliente registrada | ✅ | Validação Parcial IT1 |
| Validação Formal aprovada pelo cliente | ✅ | Validação Formal IT1 |
| Rastreabilidade atualizada | ✅ | V&V IT1 — ES.06 — RF48 adicionado à feature |
| Issue movida para Done no GitHub Projects | ✅ | Issue #57 — fechada via merge do PR (closes #N) |

