docs(rls): Add SQL script and RLS setup guide - Tasks table with Row Level Security

backend-api/RLS_SETUP_GUIDE.md

@@ -0,0 +1,201 @@
+# 🔐 Implementar RLS no Supabase - Guia Passo a Passo
+
+## 📌 O que é RLS (Row Level Security)?
+
+Row Level Security é um mecanismo de segurança no PostgreSQL que permite controlar qual linhas de dados cada usuário pode acessar. No nosso caso, garante que:
+
+✅ **Usuário A** pode ver/editar apenas suas tarefas  
+✅ **Usuário B** pode ver/editar apenas suas tarefas  
+❌ **Usuário A NÃO** consegue acessar tarefas de **Usuário B**  
+
+## 🚀 Como Implementar no Supabase
+
+### Passo 1: Acessar o SQL Editor do Supabase
+
+1. Vá para [https://supabase.com/dashboard](https://supabase.com/dashboard)
+2. Selecione seu projeto **"todolist-fullstack"**
+3. No menu lateral, clique em **SQL Editor**
+4. Clique em **New Query**
+
+### Passo 2: Copiar o Script SQL
+
+1. Abra o arquivo: `backend-api/SQL_TASKS_TABLE_RLS.sql`
+2. Copie todo o conteúdo
+3. Cole no editor SQL do Supabase
+
+### Passo 3: Executar o Script
+
+1. Clique no botão **▶️ RUN** (canto inferior direito)
+2. Aguarde a execução completar (deve levar 2-5 segundos)
+3. Verifique se não houve erros (aparecerá "Successfully" em verde)
+
+### Passo 4: Verificar a Tabela Criada
+
+1. Vá para **Database** → **Tables** no menu lateral
+2. Você deve ver a tabela `tasks` listada
+3. Clique nela para visualizar:
+   - Schema das colunas
+   - Índices criados
+   - Políticas RLS (abas "Row Level Security")
+
+## 📋 O que o Script Cria
+
+### 1️⃣ Tabela `tasks`
+
+| Coluna | Tipo | Descrição |
+|--------|------|-----------|
+| `id` | UUID | ID único (auto-gerado) |
+| `user_id` | UUID | Referência ao usuário (auth.users) |
+| `title` | VARCHAR(255) | Título obrigatório |
+| `description` | TEXT | Descrição opcional |
+| `completed` | BOOLEAN | Status de conclusão |
+| `due_date` | TIMESTAMP | Data de vencimento |
+| `category` | VARCHAR(50) | Categoria para organização |
+| `priority` | VARCHAR(20) | low \| medium \| high |
+| `created_at` | TIMESTAMP | Auto-preenchido |
+| `updated_at` | TIMESTAMP | Auto-atualizado |
+
+### 2️⃣ Índices para Performance
+
+```sql
+idx_tasks_user_id        -- Buscar tarefas por usuário
+idx_tasks_completed      -- Filtrar concluídas/pendentes
+idx_tasks_created_at     -- Ordenar por data de criação
+idx_tasks_due_date       -- Ordenar por vencimento
+idx_tasks_user_completed -- Query combinada (comum)
+```
+
+### 3️⃣ Row Level Security (RLS) - 4 Políticas
+
+#### ✅ SELECT - Ver tarefas próprias
+```sql
+auth.uid() = user_id
+```
+Usuário vê apenas suas tarefas.
+
+#### ✅ INSERT - Criar tarefas próprias
+```sql
+auth.uid() = user_id
+```
+Usuário só consegue inserir tarefa com seu `user_id`.
+
+#### ✅ UPDATE - Editar tarefas próprias
+```sql
+auth.uid() = user_id
+```
+Usuário só consegue atualizar suas tarefas.
+
+#### ✅ DELETE - Deletar tarefas próprias
+```sql
+auth.uid() = user_id
+```
+Usuário só consegue deletar suas tarefas.
+
+### 4️⃣ Trigger para `updated_at`
+
+Atualiza o campo `updated_at` automaticamente toda vez que uma tarefa é modificada.
+
+## 🧪 Testar a Implementação
+
+### Teste 1: Verificar RLS Ativado
+
+No SQL Editor, execute:
+
+```sql
+SELECT schemaname, tablename, rowsecurity 
+FROM pg_tables 
+WHERE tablename = 'tasks';
+```
+
+**Esperado:**
+```
+schemaname | tablename | rowsecurity
+----------|-----------|-----------
+public    | tasks     | true
+```
+
+### Teste 2: Listar Políticas RLS
+
+```sql
+SELECT tablename, policyname 
+FROM pg_policies
+WHERE tablename = 'tasks'
+ORDER BY policyname;
+```
+
+**Esperado:**
+```
+tablename | policyname
+-----------|------------------------------------------
+tasks     | Users can create their own tasks
+tasks     | Users can delete their own tasks
+tasks     | Users can update their own tasks
+tasks     | Users can view their own tasks
+```
+
+### Teste 3: Testar Isolamento (via Supabase Dashboard)
+
+1. Vá para **Authentication** → **Users** no dashboard
+2. Crie 2 usuários de teste:
+   - `user1@test.com` / `password123`
+   - `user2@test.com` / `password123`
+
+3. Autentique como `user1` no frontend
+4. Crie uma tarefa para `user1`
+5. Autentique como `user2` no frontend
+6. Verifique que `user2` NÃO consegue ver a tarefa de `user1`
+
+## ⚠️ Troubleshooting
+
+### "Error: relation tasks does not exist"
+- Verifique se você copiou o script inteiro
+- Certifique-se de executar o script completo de uma vez
+
+### "Error: policy already exists"
+- Você está executando o script duas vezes
+- Solução: Execute apenas uma vez ou delete as políticas primeiro
+
+### RLS não está funcionando
+- Verifique se RLS está **habilitado** (não desabilitado)
+- Confirme que o `user_id` na tabela corresponde ao `auth.uid()` do usuário autenticado
+
+## 🔗 Integração com Backend (NestJS)
+
+O TasksService já está preparado para trabalhar com RLS:
+
+```typescript
+// O Supabase valida automaticamente:
+// - Usuário só acessa suas tarefas (RLS)
+// - Não consegue inserir tarefa com outro user_id
+// - Não consegue atualizar/deletar tarefa de outro usuário
+
+async findAll(userId: string) {
+  const { data, error } = await this.supabaseService
+    .getClient()
+    .from('tasks')
+    .select('*')
+    .eq('user_id', userId); // ← RLS já filtra automaticamente
+    
+  return data;
+}
+```
+
+## 📚 Referências Úteis
+
+- 📖 [Supabase RLS Guide](https://supabase.com/docs/guides/auth/row-level-security)
+- 🔒 [PostgreSQL Security](https://www.postgresql.org/docs/current/sql-altertable.html#SQL-ALTERTABLE-RLS)
+- 🚀 [Best Practices](https://supabase.com/docs/guides/database/basics/best-practices)
+
+## ✅ Próximos Passos
+
+Após executar o script SQL:
+
+1. ✅ Executar SQL no Supabase
+2. ✅ Verificar tabela criada
+3. ➡️ **Próximo**: Testar endpoints de tasks via Postman/Insomnia
+4. ➡️ **Depois**: Implementar Frontend (Next.js)
+
+---
+
+**Status**: 🟡 Aguardando execução manual no Supabase  
+**Responsável**: Você (execute o SQL_TASKS_TABLE_RLS.sql no SQL Editor)