// Guia prático
Como revisar login e autenticação de SaaS com IA
Autenticação x autorização: não confunda
Autenticação responde "quem é você"; autorização responde "o que você pode fazer". SaaS feito com IA costuma acertar o login e errar a autorização — a pessoa entra, mas alcança dado ou ação que não deveria. Revise as duas coisas, separadas.
O que checar no login
O login é a porta; ela precisa aguentar tentativa automatizada e não escapar informação.
- Rate limit e bloqueo após várias tentativas.
- Mensagem de erro que não revela se o e-mail existe.
- Sessão que expira, invalida no logout e roda em cookie seguro.
- MFA disponível ao menos para conta admin.
Reset de senha e convites
Fluxos de recuperação e convite são o caminho favorito para account takeover. O token precisa ser único, curto no tempo, de uso único e invalidado após o uso. Convite não pode virar acesso a um tenant errado.
- Token de reset de uso único, com expiração curta.
- Trocar senha invalida sessões antigas.
- Convite amarrado ao e-mail e ao tenant corretos.
Como fazer a revisão sem chutar
Em vez de olhar linha por linha no escuro, use prompts que forçam a IA a percorrer cada caminho — login, sessão, reset, convite, permissão — e a apontar onde a verificação está no front em vez do servidor. O RET Promptbook organiza exatamente esse roteiro.
Perguntas frequentes
MFA é obrigatório para SaaS pequeno?
Para conta admin, trate como essencial: é o alvo mais valioso. Para usuários comuns, ofereça como opção. O custo de um admin comprometido é alto demais para depender só de senha.
A mensagem de erro do login importa mesmo?
Importa. "E-mail não existe" versus "senha errada" entrega ao atacante uma lista de e-mails válidos para força bruta e phishing. Use mensagem genérica.
Login certo garante segurança?
Não. Muitos incidentes acontecem depois do login, na autorização: a pessoa autenticada alcança dado de outro cliente ou ação de admin. Revise autorização separada do login.