Membros e permissões

O CloudTasks usa um modelo de permissões em dois níveis: organização e workspace. O papel mais permissivo vence quando há sobreposição.

Matriz de permissões — Organização

Ação	Owner	Admin	Member	Billing
Ver membros da org	Sim	Sim	Sim	Sim
Convidar membros	Sim	Sim	—	—
Remover membros	Sim	Sim	—	—
Alterar papéis	Sim	Sim*	—	—
Criar workspaces	Sim	Sim	—	—
Editar configurações da org	Sim	Sim	—	—
Ver plano e faturamento	Sim	Sim	—	Sim
Gerenciar plano	Sim	—	—	Sim
Deletar organização	Sim	—	—	—
Transferir ownership	Sim	—	—	—

*Admins podem alterar papéis de outros membros, exceto o próprio ou o owner.

Matriz de permissões — Workspace

Ação	Owner	Admin	Member	Viewer
Ver projetos e issues	Sim	Sim	Sim	Sim
Criar issues	Sim	Sim	Sim	—
Editar issues	Sim	Sim	Sim	—
Deletar issues	Sim	Sim	—	—
Criar projetos	Sim	Sim	Sim	—
Editar configurações do projeto	Sim	Sim	—	—
Deletar projetos	Sim	Sim	—	—
Gerenciar status do projeto	Sim	Sim	—	—
Criar etiquetas	Sim	Sim	Sim	—
Gerenciar membros do workspace	Sim	Sim	—	—
Editar configurações do workspace	Sim	Sim	—	—
Deletar workspace	Sim	—	—	—

Regras importantes

Owners da organização têm acesso implícito a todos os workspaces, mesmo que não sejam membros explícitos. Isso permite que owners resolvam situações onde todos os admins foram removidos.

Membros da organização sem papel em um workspace não conseguem acessar o workspace — eles precisam ser adicionados explicitamente.

Viewers são úteis para stakeholders que precisam acompanhar o andamento sem fazer alterações: clientes, partes interessadas externas, auditores.

Como o RBAC é verificado

Cada requisição à API verifica:

1. Token JWT válido e não expirado
2. Usuário é membro da organização referenciada
3. Papel do usuário na organização ou workspace satisfaz o requisito da operação

O middleware de autorização extrai o org slug e workspace slug da URL e consulta os papéis do usuário no banco. A verificação é feita antes de qualquer lógica de negócio.