core/platform-projects-core/docs/security-model.md

Modelo de segurança

Autenticação

• JWT validado via JWKS (padrão).
• Fallback opcional para secret interno (MVP).
• Claims obrigatórias: sub, tenantId, roles.

Autorização

• tenantId injetado no contexto.
• Toda query utiliza tenant_id explicitamente.
• Falha de segurança gera erro explícito para o cliente.