SB-006Baixoauth

JWT anônimo sem validade excessiva

Decodifica o JWT da chave anon e alerta quando `exp - iat > 10 anos`.

Por que importa

Chaves anon são públicas por design, mas uma validade de décadas impede rotação real. Se a chave vazar num contexto não previsto, não há janela de mitigação.

Como corrigir

Gere uma nova chave anon com validade mais curta e planeje rotação periódica em **Settings → API → JWT Settings**.

Verificar a correção

SB-006 · verifynão-destrutivo

node -e "const p=process.env.ANON_KEY.split('.')[1];console.log(JSON.parse(Buffer.from(p,'base64url')))"

Referências

Supabase — Row Level Security
PostgREST — Authentication