Role a oprávnění — Plecháček

Google OAuth + better-auth

Žádné vlastní hesla, žádné magic linky. Přihlašování přes Google Workspace doménu. `ALLOWED_EMAIL_DOMAINS` whitelist + `ADMIN_EMAILS` env var = setup za 5 minut.

Google OAuth (Workspace whitelist)
better-auth sessions v SQLite
2FA přes Google (transparentně)
Žádné lokální hesla v DB

Google OAuth (Workspace whitelist)

better-auth sessions v SQLite

2FA přes Google (transparentně)

Žádné lokální hesla v DB

Per-role MCP visibility

Definujete role v UI nebo v `auth_role_mcp_access`. Junior vidí `gmail`, `calendar`, `wiki`. Senior + `firma-data`, `drive`. Admin vše. Změna role = okamžitý refresh.

Role = pojmenovaná skupina MCP přístupů
User může mít víc rolí (intersect)
Per-MCP visibility (celý server)
Změny auditované v app_audit

// MCP registry — gate per nástroj
export const registry = [
  { name: 'firma_search',
    gateLevel: 'auto-allow' },
  { name: 'firma_create_invoice',
    gateLevel: 'confirm-always' },
  { name: 'firma_delete_customer',
    gateLevel: 'admin-only' },
];

Per-tool override

Když senior nemá vidět write tooly v `firma-data` MCP, vytvoříte `auth_role_tool_override` row. Granulárně řešíte výjimky bez vytváření 20 rolí.

auth_role_tool_override tabulka
allow / deny per konkrétní tool
Přednost před per-MCP visibility
Setup přes admin UI

auto-allow

→

confirm-once

→

admin-only

Multi-tenant ready od dne 1

I když MVP běží single-tenant pro Liquid Design, každá tabulka má `organization_id`. Až přijde klient, refactor jádra nepřijde — jen se přepne flag.

organization_id v každé tabulce
Default tenant = 1 (Liquid Design)
Postgres swap přes Drizzle dialect
Per-tenant Plecháček instance možná

organization_id v každé tabulce

Default tenant = 1 (Liquid Design)

Postgres swap přes Drizzle dialect

Per-tenant Plecháček instance možná

Kdo má co vidět, přesně podle vás

Google OAuth + better-auth

Per-role MCP visibility

Per-tool override

Multi-tenant ready od dne 1

Pojďme si o tom promluvit