Segurança

• Rotação e revogação de refresh tokens (blacklist em Redis)
• Logging estruturado de eventos críticos
• Rate limiting em endpoints sensíveis
• Headers de segurança (CORS, TrustedHost, GZip, etc)
• Proteção por permissões (RBAC)
• Ambientes separados para dev, prod, test
• Testes automatizados de segurança (brute force, privilege escalation, CSRF)
• Use HTTPS em produção