Visão geral

Finalizei o fluxo de confirmação de conta no Auth 0.4.0. Agora todo cadastro iniciado passa por validação via código enviado por e-mail, desbloqueando o acesso definitivo ao tenant. O objetivo principal foi tirar o recurso do papel com equilíbrio entre experiência de uso, requisitos de auditoria e a escala multi-tenant que já precisávamos suportar.

Confirmação validada ponta a ponta

• Código de verificação de seis dígitos com validade de 10 minutos e limite de cinco tentativas por conta.
• Reenvio controlado com backoff progressivo para evitar abuso de canais de e-mail.
• Tela de confirmação dedicada no front-end, com mensagens contextuais e estados de carregamento sincronizados com o back-end.
• Ativação imediata da conta após a confirmação, refrescando o token da sessão para liberar o restante dos serviços.

Complexidade de back-end necessária

• Orquestração distribuída: auth-api publica eventos de criação e confirmação no NATS, enquanto auth-workers cuida do envio de e-mails, TTL de códigos e da revogação de tentativas expiradas.
• Consistência multi-tenant: toda a trilha usa o tenant_id como chave primária, garantindo isolamento das filas e dos templates de e-mail por cliente.
• Persistência resiliente: códigos e contadores de tentativa ficam no Redis com lock otimista. Em caso de concorrência (mesmo usuário gerando novo código em múltiplas abas), prevalece sempre o registro mais recente.

Próximos passos

• Estender o mesmo fluxo de código para recuperação de acesso.
• Concluir o template definitivo de boas-vindas com personalização por tenant.
• Automatizar testes end-to-end cobrindo geração, confirmação e limites de tentativa.