Permissões granulares, roles customizáveis, 2FA por role.
DashboardUser × DashboardRole many-to-many. 4 roles padrão (Admin, Financeiro, Operacional, Visualização). Crie roles próprias combinando qualquer permissão.
Sistema
151
permissões dashboard
4
roles padrão
∞
roles customizáveis
2FA
opcional ou obrigatório por role
Roles padrão
Administrador
Acesso total. Permissão wildcard billing.dashboard.*. Usado pelo dono/operação principal.
- Acesso total
- Wildcard billing.dashboard.*
- Dono/operação principal
Financeiro
Faturas, pagamentos, créditos, NFe, relatórios. Não mexe em configurações ou membros.
- Faturas, pagamentos, créditos
- NFe, relatórios
- Sem config nem membros
Operacional
Atendimento. Vê clientes, assinaturas, faturas. Pode atualizar dados básicos. Não cancela nem refunda.
- Atendimento
- Update básico
- Sem cancel/refund
Visualização
Read-only em todos recursos. Útil para auditores, board, consultores externos.
- Read-only
- Auditores e board
- Consultores externos
Recursos do RBAC
Roles Customizáveis
Crie roles combinando qualquer subset das 151 permissões. Slug único por organização. Útil para roles como Suporte N1, Compliance, Analista de churn.
- Permissions array editável
- Override de role do sistema permitido
- Audit log em cada mudança
Convite por E-mail
Admin envia convite. Token expira em 7 dias. Worker portal-invitation faz reenvio se aceito.
- E-mail com link único
- Token criptografado
- Notification + AuditLog
Assignment Auditado
Cada role assignment registra assignedBy + assignedAt. Histórico completo de mudanças de permissão por usuário.
- assignedBy + assignedAt
- Histórico completo
- Auditoria por usuário
2FA por Role
Role pode marcar require2fa=true. Usuários nessa role são forçados a configurar TOTP no próximo login.
- require2fa por role
- Forçado no próximo login
- TOTP padrão
Ativação/Desativação
Roles e usuários têm isActive. Permite desligar sem deletar (preserva histórico).
- isActive em ambos
- Desligar sem deletar
- Histórico preservado
Revogação Imediata
Remove role do usuário ou desativa usuário. Próxima request retorna 403/401.
- Sem propagação
- 403/401 imediato
- Revogação atomic
Multi-Role
Um usuário pode ter múltiplas roles. Permissões union (OR).
- Múltiplas roles
- Permissões union
- Flexibilidade
Onboarding Trackeado
onboardingCompletedAt em Organization. Getting Started flow para novos membros.
- onboardingCompletedAt
- Getting Started flow
- Para novos membros
Convidar membro via API
bash
curl -X POST https://api.billing.kobana.com.br/v1/members/invitations \
-H "Authorization: Bearer sk_live_..." \
-H "Content-Type: application/json" \
-d '{
"email": "operador@empresa.com.br",
"role_slugs": ["operacional"]
}'response
{
"id": "inv_xyz",
"email": "operador@empresa.com.br",
"expires_at": "2026-06-13T12:00:00Z",
"status": "pending"
}