# Modelo de segurança

## Autenticação

- JWT validado via JWKS (padrão).
- Fallback opcional para secret interno (MVP).
- Claims obrigatórias: `sub`, `tenantId`, `roles`.

## Autorização

- `tenantId` injetado no contexto.
- Toda query utiliza `tenant_id` explicitamente.
- Falha de segurança gera erro explícito para o cliente.