feat(auth): garantir usuarios padrao no start do container\n\n- Torna o seed idempotente por padrao (SEED_ENSURE_ONLY=true) sem resetar senhas existentes.\n- Executa

> web@0.1.0 auth:seed /home/renan/sistema-de-chamados > node scripts/seed-auth.mjs ✅ Usuario garantido (sem reset de senha): admin@sistema.dev ✅ Usuario garantido (sem reset de senha): cliente.demo@sistema.dev ✅ Usuario garantido (sem reset de senha): mariana.andrade@atlasengenharia.com.br ✅ Usuario garantido (sem reset de senha): fernanda.lima@omnisaude.com.br ✅ Usuario garantido (sem reset de senha): joao.ramos@atlasengenharia.com.br ✅ Usuario garantido (sem reset de senha): aline.rezende@atlasengenharia.com.br ✅ Usuario garantido (sem reset de senha): ricardo.matos@omnisaude.com.br ✅ Usuario garantido (sem reset de senha): luciana.prado@omnisaude.com.br ✅ Usuario garantido (sem reset de senha): gabriel.oliveira@rever.com.br ✅ Usuario garantido (sem reset de senha): george.araujo@rever.com.br ✅ Usuario garantido (sem reset de senha): hugo.soares@rever.com.br ✅ Usuario garantido (sem reset de senha): julio@rever.com.br ✅ Usuario garantido (sem reset de senha): lorena@rever.com.br ✅ Usuario garantido (sem reset de senha): renan.pac@paulicon.com.br ✅ Usuario garantido (sem reset de senha): thiago.medeiros@rever.com.br ✅ Usuario garantido (sem reset de senha): weslei@rever.com.br apos no stack.yml.\n- Garante admin e demais usuarios definidos sem acao manual, mesmo após reset do app.
2025-10-09 16:34:59 -03:00 · 2025-10-09 16:34:59 -03:00 · 4e87911269
commit 4e87911269
parent 43ef2bc239
2 changed files with 60 additions and 63 deletions
--- a/scripts/seed-auth.mjs
+++ b/scripts/seed-auth.mjs
@ -5,6 +5,10 @@ import { hashPassword } from "better-auth/crypto"
 const { PrismaClient } = pkg
 const prisma = new PrismaClient()

+// Em produção, evitar sobrescrever senhas a cada deploy.
+// Por padrão, apenas GARANTE que o usuário e a conta existam (sem resetar senha).
+const ensureOnly = (process.env.SEED_ENSURE_ONLY ?? "true").toLowerCase() === "true"
+
 const tenantId = process.env.SEED_USER_TENANT ?? "tenant-atlas"

 const singleUserFromEnv = process.env.SEED_USER_EMAIL
@ -132,81 +136,73 @@ const defaultUsers = singleUserFromEnv ?? [
  },
 ]

-async function upsertAuthUser({ email, password, name, role, tenantId: userTenant }) {
+async function ensureCredentialAccount(userId, email, hashedPassword, updatePassword) {
+  const existing = await prisma.authAccount.findFirst({
+    where: { userId, providerId: "credential", accountId: email },
+  })
+  if (existing) {
+    if (updatePassword) {
+      await prisma.authAccount.update({
+        where: { id: existing.id },
+        data: { password: hashedPassword },
+      })
+    }
+    return existing
+  }
+  return prisma.authAccount.create({
+    data: {
+      userId,
+      providerId: "credential",
+      accountId: email,
+      password: hashedPassword,
+    },
+  })
+}
+
+async function ensureAuthUser({ email, password, name, role, tenantId: userTenant }) {
  const hashedPassword = await hashPassword(password)

-  const user = await prisma.authUser.upsert({
-    where: { email },
-    update: {
-      name,
-      role,
-      tenantId: userTenant,
-    },
-    create: {
-      email,
-      name,
-      role,
-      tenantId: userTenant,
-      accounts: {
-        create: {
-          providerId: "credential",
-          accountId: email,
-          password: hashedPassword,
+  const existing = await prisma.authUser.findUnique({ where: { email } })
+  if (!existing) {
+    const user = await prisma.authUser.create({
+      data: {
+        email,
+        name,
+        role,
+        tenantId: userTenant,
+        accounts: {
+          create: {
+            providerId: "credential",
+            accountId: email,
+            password: hashedPassword,
+          },
        },
      },
-    },
-    include: {
-      accounts: true,
-    },
-  })
-
-  await prisma.authAccount.updateMany({
-    where: {
-      userId: user.id,
-      accountId: email,
-    },
-    data: {
-      providerId: "credential",
-    },
-  })
-
-  let account = await prisma.authAccount.findFirst({
-    where: {
-      userId: user.id,
-      providerId: "credential",
-      accountId: email,
-    },
-  })
-
-  if (account) {
-    account = await prisma.authAccount.update({
-      where: { id: account.id },
-      data: {
-        password: hashedPassword,
-      },
+      include: { accounts: true },
    })
-  } else {
-    account = await prisma.authAccount.create({
-      data: {
-        userId: user.id,
-        providerId: "credential",
-        accountId: email,
-        password: hashedPassword,
-      },
+    console.log(`✅ Usuario criado: ${user.email}`)
+    console.log(`   ID: ${user.id}`)
+    console.log(`   Role: ${user.role}`)
+    console.log(`   Tenant: ${user.tenantId ?? "(nenhum)"}`)
+    console.log(`   Senha provisoria: ${password}`)
+    return
+  }
+
+  // Usuário já existe
+  if (!ensureOnly) {
+    await prisma.authUser.update({
+      where: { id: existing.id },
+      data: { name, role, tenantId: userTenant },
    })
  }

-  console.log(`✅ Usuario seed criado/atualizado: ${user.email}`)
-  console.log(`   ID: ${user.id}`)
-  console.log(`   Role: ${user.role}`)
-  console.log(`   Tenant: ${user.tenantId ?? "(nenhum)"}`)
-  console.log(`   Provider: ${account?.providerId ?? "-"}`)
-  console.log(`   Senha provisoria: ${password}`)
+  await ensureCredentialAccount(existing.id, email, hashedPassword, !ensureOnly)
+  console.log(`✅ Usuario garantido${ensureOnly ? " (sem reset de senha)" : " (atualizado)"}: ${email}`)
 }

 async function main() {
  for (const user of defaultUsers) {
-    await upsertAuthUser(user)
+    await ensureAuthUser(user)
  }
 }

--- a/stack.yml
+++ b/stack.yml
@ -9,6 +9,7 @@ services:
      bash -lc "corepack enable \
      && corepack prepare pnpm@9 --activate \
      && pnpm exec prisma migrate deploy \
+      && pnpm auth:seed \
      && pnpm start -p 3000"
    volumes:
      - /srv/apps/sistema:/app