Fluxo de entrada
Este portal não usa login público nem rota escondida.
O acesso esperado é via Cloudflare Access ou camada equivalente, com MFA e identidade corporativa. Depois do perimeter, o próprio app ainda valida o JWT no servidor e cruza o e-mail com a tabela interna de administradores.
A camada de perimeter ainda não autenticou este acesso.
Readiness atual
Estratégia ativa: cloudflare-access
O portal está pronto para operar com perimeter real e allowlist administrativa.
1. Perimeter
Proteja `adm.troke.com.br` com allowlist, MFA e identidade corporativa.
2. JWT validado
O middleware valida o token antes de servir qualquer rota protegida.
3. Role interna
`admin_users` define o que cada membro pode ler e operar dentro do portal.