Executando verificação de segurança...
0
RafaOliveira
2 min de leitura ·

Meu Saas de autenticação para devs

Fala, pessoal 👋

Estou trabalhando em um projeto que nasceu de uma dor bem comum: autenticação costuma ser chata, repetitiva e cheia de decisões que não agregam ao produto final.
A ideia foi criar um SaaS de autenticação para devs, no mesmo espírito do Clerk, mas com um modelo diferente de cobrança e foco em simplicidade + segurança.

O projeto ainda está em fase de testes / beta, e estou abrindo pra galera experimentar e dar feedback.

O que o AuthFlow resolve hoje

As features principais são bem próximas do que a maioria dos produtos precisa logo de cara:

  • Autenticação via email e senha

  • Autenticação via Google OAuth

  • Gerenciamento de planos

  • Gerenciamento de roles

  • Integração com pagamentos via Asaas

    • Sem mensalidade
    • Apenas 0,7% por transação processada

A ideia é: você só paga se estiver ganhando dinheiro.

Segurança (onde eu realmente foquei)

Aqui foi onde eu mais tive cuidado, porque auth mal feita vira problema grande rápido.

Backend

  • Fastify + TypeScript
  • PostgreSQL com Drizzle ORM

Autenticação de desenvolvedores

  • Email/senha com hash Argon2
  • OAuth com Google e GitHub
  • Sessões em cookies HTTP-only
  • Duração de sessão configurável

Autenticação dos usuários finais (via SDK)

  • Email/senha e Google OAuth

  • Tokens de sessão assinados com HMAC-SHA256

  • Cada projeto possui:

    • Chave pública (operações de leitura)
    • Chave secreta (operações sensíveis)

Proteção CSRF

  • Implementação do padrão Signed Double-Submit Cookie (OWASP)
  • Tokens no formato randomValue.signature
  • Assinatura baseada em HMAC(sessionId + randomValue)
  • Validação usando timingSafeEqual para evitar timing attacks
  • Validação de Origin / Referer com whitelist de origens permitidas

Nada revolucionário, mas tudo feito com bastante cuidado e seguindo boas práticas.

Sobre pagamentos

O Asaas ainda está em sandbox, então:

  • Não tem dinheiro real envolvido
  • A ideia agora é testar o fluxo, entender se faz sentido
  • Ajustar UX, DX e pricing com base no feedback

O que eu estou buscando agora

  • Devs que topem testar
  • Feedback sincero (inclusive se achar que não faz sentido 😅)
  • Sugestões do que está faltando ou do que está complexo demais

Link do projeto:
👉 https://auth-flow-hazel.vercel.app

Se fizer sentido pra você, testa, quebra, critica.
A ideia é evoluir isso com a comunidade, não sozinho.

Valeu demais 🙌

Carregando publicação patrocinada...
2
1
RafaOliveira
  • Autor
    Autor

Boa pergunta.

Eles resolvem sim, dependendo do cenário.

Keycloak funciona bem quando você quer apenas identidade e SSO, mas ele não resolve:

  • billing

  • planos

  • controle de acesso por produto

Supabase resolve auth + banco, mas transfere muita responsabilidade pro dev:

  • RLS mal configurado = banco exposto

  • billing e planos ficam fora do escopo

O que estou construindo não é só auth, mas um bloco completo de infra pra SaaS:

  • autenticação

  • roles

  • planos

  • cobrança

A ideia é o dev não precisar costurar 3 ou 4 serviços pra ter algo pronto pra produção.