SB-002Médioauth

Cadastro por email exige confirmação

Garante que novos cadastros não virem sessões autenticadas sem validar o email.

Por que importa

Com auto-confirm ligado, um invasor pode criar contas em massa e, dependendo das políticas de RLS, escalar privilégios como se fosse um usuário válido.

Como corrigir

Em **Authentication → Providers → Email**, desative `Auto Confirm Users` e mantenha `Confirm email` habilitado.

Verificar a correção

SB-002 · verifynão-destrutivo

curl -s -X POST "$SUPABASE_URL/auth/v1/signup" -H "apikey: $ANON_KEY" -H 'Content-Type: application/json' -d '{"email":"[email protected]","password":"x"}'

Referências

Supabase — Row Level Security
PostgREST — Authentication