docs: reestruturar README em dois perfis; bump 2.3.8

- README: perfil Usar (só Docker) e Desenvolver (hot-reload)
- README: seção Docker simplificada; scripts atualizados
- CHANGELOG: entrada 2.3.8 com mudanças de infraestrutura Docker

Co-Authored-By: Claude Sonnet 4.6 (1M context) <noreply@anthropic.com>

.env.example

@@ -44,6 +44,12 @@ GOOGLE_CLIENT_SECRET=
 # Se não definido, todas as rotas ficam acessíveis.
 # PUBLIC_DOMAIN=openmonetis.com
 
+# === Analytics (Opcional) ===
+# Umami: https://umami.is — self-hosted ou cloud
+UMAMI_URL=
+UMAMI_WEBSITE_ID=
+UMAMI_DOMAINS=
+
 # === AI Providers (Opcional) ===
 ANTHROPIC_API_KEY=
 OPENAI_API_KEY=

.gitattributes

@@ -0,0 +1,4 @@
+# Força LF para arquivos que precisam de line endings Unix no container
+*.sh text eol=lf
+docker-entrypoint.sh text eol=lf
+Dockerfile text eol=lf

.github/copilot-instructions.md

@@ -1,58 +0,0 @@
-# AI Coding Assistant Instructions for OpenMonetis
-
-## Project Overview
-
-OpenMonetis is a self-hosted personal finance management application built with Next.js 16, TypeScript, PostgreSQL, and Drizzle ORM. It provides manual transaction tracking, account management, budgeting, and financial insights with a Portuguese interface.
-
-## Architecture
-
-- **Frontend**: Next.js App Router with React 19, shadcn/ui components, Tailwind CSS
-- **Backend**: Server actions in Next.js, API routes for auth/health
-- **Database**: PostgreSQL with Drizzle ORM, schema in `db/schema.ts`
-- **Auth**: Better Auth (OAuth + email magic links)
-- **Deployment**: Docker multi-stage build, health checks
-
-## Key Patterns
-
-- **Server Actions**: Use `"use server"` for mutations, validate with Zod schemas, handle errors with `handleActionError`
-- **Database Queries**: Use Drizzle's query API with relations, e.g., `db.query.lancamentos.findMany({ with: { categoria: true } })`
-- **Authentication**: Import from `lib/auth/server`, redirect on failure
-- **Revalidation**: Call `revalidateForEntity("lancamentos")` after mutations
-- **Portuguese Naming**: DB fields like `nome`, `tipo_conta`, `pagador` (payer), `lancamento` (transaction)
-- **Component Structure**: Feature-based folders in `components/`, shared UI in `components/ui/`
-
-## Development Workflow
-
-- **Start Dev**: `pnpm dev` (Turbopack), `docker compose up db -d` for DB
-- **Database**: `pnpm db:push` to sync schema, `pnpm db:studio` for visual editor
-- **Build**: `pnpm build`, `pnpm start` for production
-- **Docker**: `pnpm docker:up` for full stack, `pnpm docker:logs` for monitoring
-
-## Common Tasks
-
-- **Add Transaction**: Create server action in `app/(dashboard)/lancamentos/actions.ts`, validate with Zod, insert via Drizzle
-- **New Entity**: Add to `db/schema.ts`, define relations, create CRUD actions in `lib/[entity]/actions.ts`
-- **UI Component**: Use shadcn/ui, place in `components/[feature]/`, export from `components/ui/`
-- **API Route**: Add to `app/api/`, use `getUserSession()` for auth
-
-## Conventions
-
-- **Imports**: Absolute paths with `@/`, group by external/internal
-- **Error Handling**: Return `{ success: false, error: string }` from actions
-- **Currency**: Store as decimal strings (e.g., "123.45"), convert to cents for calculations
-- **Periods**: Format as "YYYY-MM", use `parsePeriodParam()` for URL params
-- **Notifications**: Send emails via `sendPagadorAutoEmails()` for payer updates
-
-## External Integrations
-
-- **Better Auth**: Config in `lib/auth/config.ts`, session handling
-- **Drizzle**: Migrations in `drizzle/`, studio at `pnpm db:studio`
-- **AI Features**: Use `@ai-sdk/*` for insights, configured in environment
-- **Email**: Resend for notifications, configured via `RESEND_API_KEY`
-
-## File Examples
-
-- Schema: `db/schema.ts` (relations, indexes)
-- Actions: `app/(dashboard)/lancamentos/actions.ts` (CRUD with validation)
-- Components: `components/lancamentos/page/lancamentos-page.tsx` (client component)
-- Utils: `lib/lancamentos/page-helpers.ts` (data transformation)

.github/workflows/docker-publish.yml

@@ -13,10 +13,35 @@ on:
 
 env:
   DOCKER_IMAGE_NAME: openmonetis
+  FORCE_JAVASCRIPT_ACTIONS_TO_NODE24: true
 
 jobs:
+  quality:
+    runs-on: ubuntu-latest
+    steps:
+      - name: Checkout repository
+        uses: actions/checkout@v4
+
+      - name: Setup pnpm
+        uses: pnpm/action-setup@v4
+        with:
+          version: 10.33.0
+
+      - name: Setup Node.js
+        uses: actions/setup-node@v4
+        with:
+          node-version: 22
+          cache: 'pnpm'
+
+      - name: Install dependencies
+        run: pnpm install --frozen-lockfile
+
+      - name: Lint
+        run: pnpm run lint
+
   build-and-push:
     runs-on: ubuntu-latest
+    needs: quality
     permissions:
       contents: read
       packages: write

.github/workflows/release.yml

@@ -5,6 +5,9 @@ on:
     branches:
       - main
 
+env:
+  FORCE_JAVASCRIPT_ACTIONS_TO_NODE24: true
+
 jobs:
   release:
     runs-on: ubuntu-latest

.vscode/settings.json

@@ -29,4 +29,4 @@
 	"[jsonc]": {
 		"editor.defaultFormatter": "vscode.json-language-features"
 	}
-}
+}

CHANGELOG.md

@@ -7,6 +7,179 @@ e este projeto adere ao [Versionamento Semântico](https://semver.org/lang/pt-BR
 
 ## [Unreleased]
 
+## [2.3.8] - 2026-04-12
+
+### Alterado
+
+- Docker: `docker-compose.yml` refatorado — removidos profiles, build e dependência de arquivo externo; compose agora é standalone (basta `curl` + `docker compose up -d`)
+- Docker: `docker-entrypoint.sh` simplificado — extensão `pgcrypto` criada via Node.js antes das migrations; loop de retry reescrito; removido hack `@localhost → @db`
+- Docker: scripts reduzidos de 10 para 5 — `docker:up`, `docker:db`, `docker:down`, `docker:logs`, `docker:update`
+- Docs: README reestruturado em dois perfis claros — **Usar** (só Docker) e **Desenvolver** (hot-reload)
+
+## [2.3.7] - 2026-04-11
+
+### Adicionado
+
+- Dashboard: novos widgets configuráveis — Anexos (resumo de arquivos do período), Inbox (snapshot de pré-lançamentos pendentes) e Tendências de Categoria
+- Lançamentos: filtro por status de pagamento (somente pagos / somente não pagos) e filtro por presença de anexo
+- Lançamentos: indicador visual no status de liquidação para lançamentos de cartão de crédito com fatura paga — exibe ícone verde com tooltip explicativo
+- Scripts: `scripts/install-deps.sh` — script de preparação para servidores Ubuntu 24.04 limpos (instala Docker, Node.js 22, pnpm via Homebrew)
+- Docker: variáveis `PUBLIC_DOMAIN`, `UMAMI_URL`, `UMAMI_WEBSITE_ID` e `UMAMI_DOMAINS` passadas ao container da aplicação no `docker-compose.yml`
+
+### Alterado
+
+- Fonte: substituída fonte local `America` por `Inter` (Google Fonts, self-hosted pelo Next.js) — elimina arquivos `.woff2` do repositório
+- Tipografia: peso tipográfico padronizado de `font-medium` para `font-semibold` em títulos, rótulos e valores monetários em toda a interface
+- Parcelas: redesenho do card de grupo de parcelas — expandindo para dialog de detalhes com parcelas pagas/pendentes separadas
+- Inbox: redesenho do card de pré-lançamento — logo maior, hierarquia tipográfica melhorada
+- Lançamentos: filtros de tipo, condição e forma de pagamento agora usam slugs em URL (ex: `receita` em vez do valor literal com acentos)
+- Estabelecimento: popover de autocomplete agora respeita a largura do input ao abrir
+- CSP: adicionado `frame-src` para permitir preview de anexos PDF via S3
+
+### Corrigido
+
+- Docker: corrigido crash loop no container com mensagem `exec /app/docker-entrypoint.sh: no such file or directory` causado por CRLF no `docker-entrypoint.sh` em ambientes Windows/WSL2 — adicionado `sed -i 's/\r$//'` no Dockerfile e `.gitattributes` com `eol=lf` para scripts shell
+- S3: corrigido `Error: Region is missing` ao usar o app sem S3 configurado — `S3_REGION` vazio (string vazia) não era tratado pelo operador `??`; substituído por `||` em todo o `s3-client.ts`
+- i18n: corrigidas mensagens de erro que exibiam "Payer" em inglês em vez de "Pagador"
+- Logos: corrigido modal seletor de logos de cartões e contas para renderizar miniaturas sem avisos de proporção
+- Scripts: `install-deps.sh` — spinner travava o script por `wait` retornar código não-zero com `set -e` ativo; corrigido com `|| true`
+- Scripts: `install-deps.sh` — prompt interativo do corepack suprimido com `COREPACK_ENABLE_DOWNLOAD_PROMPT=0`
+- Scripts: `install-deps.sh` — PATH do Homebrew não estava configurado na seção de resumo
+
+### Removido
+
+- Scripts: removidos arquivos órfãos `scripts/dev.ts` e `scripts/setup-env.sh` (substituídos pelo `setup.mjs`)
+- Docker: `docker-compose.yml` agora funciona sem arquivo `.env` — `DATABASE_URL` tem valor padrão com credenciais de desenvolvimento
+- Docker: `docker-entrypoint.sh` converte automaticamente `@localhost:` para `@db:` na `DATABASE_URL` ao iniciar o container, eliminando a necessidade de usar hosts diferentes no `.env` para desenvolvimento local e Docker
+
+## [2.3.6] - 2026-04-09
+
+### Corrigido
+
+- Docker: adicionado `NODE_PATH=/app/migrate/node_modules` no entrypoint para que o `drizzle-kit` consiga resolver `drizzle-orm` ao executar as migrations no container
+
+## [2.3.5] - 2026-04-07
+
+### Corrigido
+
+- CSP: movido `Content-Security-Policy` do `next.config.ts` (build time) para `proxy.ts` (runtime), corrigindo bloqueio de upload de anexos quando `S3_ENDPOINT` não estava disponível durante o build do Docker
+
+## [2.3.4] - 2026-04-05
+
+### Corrigido
+
+- Anexos: corrigido upload que falhava com `NetworkError` — CSP `connect-src` bloqueava fetch para o Storage
+
+## [2.3.3] - 2026-04-05
+
+### Corrigido
+
+- Tokens: corrigido `/api/auth/device/verify` que rejeitava tokens criados via Settings (revertido de JWT para hash lookup)
+
+### Alterado
+
+- Tokens: prefixo renomeado de `os_` para `opm_` (OpenMonetis); tokens existentes precisam ser recriados
+- Tokens: removidas rotas JWT não utilizadas (`/api/auth/device/token` e `/api/auth/device/refresh`)
+- Tokens: `api-token.ts` simplificado para conter apenas `hashToken` e `extractBearerToken`
+
+## [2.3.2] - 2026-04-04
+
+### Segurança
+
+- Tokens: removido aceite de tokens sem expiração (`expiresAt NULL`); tokens criados via settings agora expiram em 1 ano
+- Tokens: corrigido refresh que sobrescrevia hash e invalidava access token anterior; verify agora valida JWT por assinatura
+- xlsx: desabilitado parsing de fórmulas (`cellFormula: false`) para mitigar CVE-2024-44294
+- CSP: expandida Content-Security-Policy com `default-src`, `script-src`, `style-src`, `img-src`, `font-src` e `connect-src`
+- Headers: adicionados `Referrer-Policy` e `X-Permitted-Cross-Domain-Policies`
+- API: rotas autenticadas agora retornam `401 JSON` em vez de redirect `302` para clientes não autenticados
+- Health: removido campo `version` da resposta do `/api/health`
+- robots.txt: simplificado para não expor mapa de rotas internas
+- Sitemap: corrigida URL com protocolo duplicado (`https://https://`)
+- Criado `security.txt` (RFC 9116)
+
+## [2.3.1] - 2026-04-03
+
+### Corrigido
+
+- Infraestrutura: deps do drizzle-kit agora são instaladas em `/app/migrate/` separado do `node_modules` do standalone, corrigindo erro `Cannot find module 'next'` no startup do container
+
+## [2.3.0] - 2026-04-03
+
+### Adicionado
+
+- Dependências: adiciona `@tanstack/react-query` e um provider global para padronizar cache, deduplicação e invalidação de leituras client-side
+- Dashboard: widget "Minhas Contas" ganha preferência persistida para mostrar ou ocultar contas marcadas como não consideradas no saldo total
+- Dashboard: cards de métricas ganham botão de ajuda com explicação do cálculo exibido no app
+- Versionamento: menu do usuário na navbar passa a avisar quando existe release mais recente publicada no GitHub
+- Qualidade: adiciona `knip` ao projeto com o script `pnpm run lint:deadcode` para auditar arquivos, exports e tipos sem uso
+- Infraestrutura: imagem Docker passa a rodar migrations automaticamente via `docker-entrypoint.sh` antes de iniciar a aplicação
+
+### Alterado
+
+- Anexos: listagem no modal de edição/detalhes, URLs temporárias da galeria e preview deixam de depender de `useEffect` para data fetching direto no componente e passam a usar React Query sobre rotas GET dedicadas
+- Insights: carregamento de análises salvas passa a usar React Query com cache por período, mantendo estado draft local apenas para análises recém-geradas ou removidas
+- Parcelamentos: histórico de antecipações no diálogo passa a usar React Query com invalidação automática após cancelamento
+- Dashboard, insights e relatórios passam a excluir movimentações de contas marcadas como não consideradas no saldo total; balanço e previsto também passam a considerar ajustes de transferências entre contas consideradas e não consideradas
+- UX: boletos e faturas passam a exibir labels relativas como "vence hoje", "vence amanhã" e "pago ontem", com tooltip para a data completa
+- Lançamentos: diálogo foi reorganizado em blocos mais claros; a criação passa a aceitar múltiplos anexos e a edição em lote preserva `purchaseDate` e `period` ao propagar alterações por série
+- Inbox e tabela de lançamentos foram componentizados em partes menores, mantendo paginação e ações em lote mais simples de evoluir
+- Infraestrutura: workflow de publish ganha etapa obrigatória de qualidade; `docker-compose` passa a suportar perfil local ou banco remoto; build fixa `pnpm@10.33.0`; projeto atualizado para `Next.js 16.2.2`, `Biome 2.4.10` e dependências correlatas
+- Qualidade: `knip` ganha configuração inicial para reduzir falsos positivos, ignorando `src/shared/components/ui/**`, o worker público de PDF, `setup.mjs` e o falso positivo de `postcss`
+
+### Corrigido
+
+- Segurança: criação de antecipações agora valida se `payerId` e `categoryId` informados pertencem ao usuário autenticado antes de persistir referências cruzadas
+- Segurança: histórico de antecipações endurece os joins de `transactions`, `payers` e `categories` com filtro por `userId`, evitando exposição de nomes relacionados caso exista referência inconsistente no banco
+- Segurança: domínio público deixa de responder rotas `/api/*`, e o Better Auth passa a aplicar rate limits explícitos para login e cadastro por e-mail
+- APIs privadas: rotas de anexos, insights salvos, histórico de antecipações e presign de download passam a responder com `Cache-Control: private, no-store`; a rota de antecipações também deixa de devolver mensagens internas de erro ao cliente
+- Build: rotas web de tokens do Companion passam a ser explicitamente dinâmicas, removendo o warning de prerender no `next build`
+- Lançamentos: edição em série de compras parceladas volta a persistir `purchaseDate` e `period`, permitindo mover parcelas para a fatura ou competência correta conforme o escopo escolhido
+- Lançamentos: edições que tentam mover compras de cartão para faturas já pagas agora são bloqueadas com mensagem clara também no fluxo de atualização e propagação em lote
+- Imagens: logos institucionais, avatares padrão e componentes com `next/image` em modo `fill` passam a usar containers fixos com `sizes`, removendo avisos de proporção e performance
+- Gráficos: `ChartContainer` passa a definir `initialDimension` no `ResponsiveContainer` do Recharts, evitando avisos `width(-1)` e `height(-1)` durante a medição inicial em widgets e relatórios
+
+## [2.2.1] - 2026-04-01
+
+### Corrigido
+
+- Docker: imagem de produção deixa de executar `chown -R /app` no stage final; as permissões passam a ser definidas nos `COPY --chown`, reduzindo o risco de travamento e lentidão excessiva no build/push da GitHub Action
+
+## [2.2.0] - 2026-04-01
+
+### Adicionado
+
+- Anexos: nova página de galeria em `/attachments` com miniaturas, visualização inline de imagem e PDF, download direto e acesso a partir do lançamento
+- Anexos: suporte a visualização de PDF diretamente no app via `pdfjs-dist`
+- Autenticação: sidebar redesenhado com mockup de faturas e três itens de funcionalidade; páginas de login e cadastro ganham gradiente decorativo e logo visível no mobile
+- Notificações: alertas de vencimento para boletos e faturas do período seguinte exibidos quando o vencimento está dentro de 5 dias
+- Documentação: novo arquivo público `public/llms.txt` com resumo do projeto e links curados para documentação, setup e arquitetura
+
+### Alterado
+
+- Performance: queries de cache do dashboard migradas de `unstable_cache` para a diretiva `use cache` com `cacheTag` e `cacheLife`; todas as páginas do dashboard passam a chamar `connection()` para renderização dinâmica; `next.config.ts` adota `cacheComponents: true`
+- Tipografia: adicionada fonte America Medium (weight 500); pesos tipográficos padronizados para `font-medium` em títulos, valores e rótulos em todos os componentes
+- Anexos: `AttachmentPreview` foi simplificado para exibir apenas nome da transação, nome do arquivo, navegação entre anexos e ações de download, abrir em nova aba e fechar com ícone `X`
+
+### Corrigido
+
+- Lançamentos: uploads e remoções de anexo agora funcionam para todos os lançamentos, não apenas os pertencentes a séries
+
+## [2.1.2] - 2026-03-30
+
+### Adicionado
+
+- Preferências: nova configuração de tamanho máximo por arquivo de anexo (5, 10, 25, 50 ou 100 MB), persistida no banco e respeitada em todos os pontos de upload
+- Lançamentos: novo escopo `"period"` na ação em lote, que aplica a alteração a todos os lançamentos do período sem sobrescrever o pagador individual de cada um
+### Corrigido
+
+- Lançamentos: ao editar um lançamento de série, uploads e remoções de anexo agora aguardam a escolha de escopo da ação em lote antes de serem executados, evitando que o anexo fosse aplicado no lançamento errado
+- Lançamentos: ação em lote com escopo `"period"` não sobrescreve mais o `payerId` individual de cada lançamento ao alterar o pagador
+
+### Alterado
+
+- Configurações: redesign visual da página com separadores entre seções e títulos maiores
+- Configurações: seção "Extrato e lançamentos" renomeada para "Lançamentos"
+
 ## [2.1.1] - 2026-03-29
 
 ### Adicionado

CLAUDE.md

@@ -16,9 +16,10 @@
 3. **Periods** usam formato `YYYY-MM` (ex: `"2025-11"`). Utils em `src/shared/utils/period/`.
 4. **Moeda**: R$ com 2 decimais. DB: `numeric(12, 2)`. Utils em `src/shared/utils/currency.ts`.
 5. **Revalidation**: usar `revalidateForEntity("entity")` de `src/shared/lib/actions/helpers.ts` apos mutations.
-6. **Versionamento**: registrar mudancas no `CHANGELOG.md` seguindo Keep a Changelog.
+6. **Versionamento**: registrar mudancas no `CHANGELOG.md` seguindo Keep a Changelog, também altere o `package.json` e `readme.md` (Badges do README.md).
 7. **Comunicacao**: responder em portugues clara e direta com o time.
 8. **Commit messages**: agrupar por natureza. em pt-br. seguindo o padrao do sistema.
+9. **README.md**: sempre que fizer alteracoes significativas, atualize o README.md.
 
 ---
 
@@ -44,6 +45,10 @@ Use esta pergunta:
 
 Se um contrato cruza dominios, ele deve morar em `src/shared/`.
 
+**Excecao intencional: `attachments` depende de `transactions`**
+
+`src/features/attachments` importa `TransactionDialog`, `TransactionDetailsDialog` e `TransactionItem` diretamente de `src/features/transactions`. Isso e uma dependencia explicita e aceita: anexos sao semanticamente uma extensao de lancamentos — existem por causa deles e nao fazem sentido sem esse contexto. Mover esses componentes para `shared/` seria errado (eles pertencem a transactions). Nao tratar isso como bug a corrigir.
+
 Exemplos comuns:
 
 - auth: `src/shared/lib/auth/*`
@@ -80,6 +85,7 @@ src/
 │   │   ├── insights/
 │   │   ├── calendar/
 │   │   ├── inbox/
+│   │   ├── attachments/
 │   │   ├── changelog/
 │   │   ├── reports/
 │   │   │   ├── category-trends/
@@ -106,6 +112,7 @@ src/
 │   ├── insights/
 │   ├── calendar/
 │   ├── inbox/
+│   ├── attachments/
 │   ├── reports/
 │   └── settings/
 ├── shared/
@@ -302,18 +309,29 @@ export async function fetchData(userId: string, period: string) {
 
 ---
 
-## Response Style
+## Security Rules
 
-Quando o time pedir avaliacao de plano ou feature:
+Regras aplicadas automaticamente ao gerar codigo.
 
-1. Responder em portugues simples.
+### Secrets
-2. Listar 3-5 problemas principais.
+Nunca colocar API keys, credenciais de banco ou tokens em codigo frontend. Evitar variaveis prefixadas com `NEXT_PUBLIC_` para dados sensiveis — estas sao bundladas no cliente. Usar variaveis server-side apenas. `.env` deve estar no `.gitignore` antes do primeiro commit. `.env.example` deve ter apenas placeholders.
-3. Fechar com decisao pratica:
-   - aprova agora
-   - nao aprova agora
-   - o que ajustar antes de comecar codigo
 
-Exemplo:
+### Autenticacao & Autorizacao
+Toda rota protegida em `src/app/api/` requer `getUser()` ou `getOptionalUserSession()` antes de qualquer logica, retornando 401 para nao autenticados. Rotas com IDs de recursos devem verificar ownership: `eq(table.userId, userId)`. Rotas admin devem checar role e retornar 403 para nao-admins. Session cookies em Better Auth ja tem `httpOnly`, `secure` e `sameSite` configurados — nao alterar.
 
-- "Nao aprovaria para comecar codigo imediatamente."
+### Input & Output
-- "Primeiro ajustaria o doc com estes 5 pontos."
+Usar Drizzle ORM (parametrizado por padrao) — nunca concatenar input de usuario em SQL. Validar todo input com Zod antes de usar. Upload de arquivos: usar whitelist de MIME types (`ALLOWED_MIME_TYPES`), presigned URLs para S3, token de upload assinado com verificacao pos-upload. Nunca usar `dangerouslySetInnerHTML` com conteudo de usuario.
+
+### Headers & CSP
+CSP definida em `src/proxy.ts` via middleware — alterar la, nao em `next.config.ts`. Headers de seguranca (HSTS, X-Frame-Options, etc.) definidos em `next.config.ts`. Nao remover nem enfraquecer essas configuracoes.
+
+### Rate Limiting
+Login: 5 tentativas/min. Signup: 3 tentativas/min. API tokens: 100 req/min (inbox), 20 req/min (batch). Configurado em `src/shared/lib/auth/config.ts` e nas rotas de inbox. Nao remover.
+
+### Tratamento de Erros
+Erros nao devem expor stack traces, paths ou nomes de bibliotecas ao cliente. Usar mensagens genericas: `"Algo deu errado"`. Logar detalhes apenas no servidor com `console.error()`.
+
+### Dependencias
+Verificar pacotes novos sugeridos pela IA em npmjs.com antes de instalar. Red flags: menos de 1.000 downloads/semana, publicado nos ultimos 30 dias, nome muito parecido com pacote popular. Rodar `pnpm audit` periodicamente.
+
+---

Dockerfile

@@ -5,14 +5,16 @@
 # ============================================
 FROM node:22-alpine AS deps
 
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
-RUN corepack enable && corepack prepare pnpm@latest --activate
 
 WORKDIR /app
 
 # Copiar apenas arquivos de dependências para aproveitar cache
 COPY package.json pnpm-lock.yaml* ./
 
+# Criar pasta public para o postinstall do pdfjs-dist
+RUN mkdir -p public
+
 # Instalar dependências (production + dev para o build)
 RUN pnpm install --frozen-lockfile
 
@@ -21,8 +23,7 @@ RUN pnpm install --frozen-lockfile
 # ============================================
 FROM node:22-alpine AS builder
 
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
-RUN corepack enable && corepack prepare pnpm@latest --activate
 
 WORKDIR /app
 
@@ -32,13 +33,14 @@ COPY --from=deps /app/node_modules ./node_modules
 # Copiar todo o código fonte
 COPY . .
 
+# Garantir que o pdf.worker vem da versão instalada no stage 1, não do host
+COPY --from=deps /app/public/pdf.worker.min.mjs ./public/pdf.worker.min.mjs
+
 # Variáveis de ambiente necessárias para o build
-# DATABASE_URL será fornecida em runtime, mas precisa estar definida para validação
 ENV NEXT_TELEMETRY_DISABLED=1 \
     NODE_ENV=production
 
 # Build da aplicação Next.js
-# Nota: Se houver erros de tipo, ajuste typescript.ignoreBuildErrors no next.config.ts
 RUN pnpm build
 
 # ============================================
@@ -46,8 +48,7 @@ RUN pnpm build
 # ============================================
 FROM node:22-alpine AS runner
 
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
-RUN corepack enable && corepack prepare pnpm@latest --activate
 
 WORKDIR /app
 
@@ -55,12 +56,27 @@ WORKDIR /app
 RUN addgroup --system --gid 1001 nodejs && \
     adduser --system --uid 1001 nextjs
 
-# Copiar apenas arquivos necessários para produção
+# Instalar deps do drizzle-kit em diretório separado ANTES de copiar o standalone
-COPY --from=builder /app/public ./public
+# Isso evita que o pnpm install sobrescreva o node_modules do Next.js standalone
-COPY --from=builder /app/package.json ./package.json
+COPY --from=builder /app/package.json /tmp/pkg.json
-COPY --from=builder /app/pnpm-lock.yaml ./pnpm-lock.yaml
+RUN mkdir -p /app/migrate && \
+  node -e "\
+  const p=JSON.parse(require('fs').readFileSync('/tmp/pkg.json','utf8'));\
+  require('fs').writeFileSync('/app/migrate/package.json',JSON.stringify({\
+    name:'openmonetis-migrate',version:p.version,\
+    dependencies:{\
+      'drizzle-orm':p.dependencies['drizzle-orm'],\
+      'pg':p.dependencies['pg']\
+    },\
+    devDependencies:{'drizzle-kit':p.devDependencies['drizzle-kit']}\
+  }));" && \
+  cd /app/migrate && pnpm install --no-frozen-lockfile --ignore-scripts && \
+  chown -R nextjs:nodejs /app/migrate
 
-# Copiar arquivos de build do Next.js
+# Copiar apenas arquivos necessários para produção
+COPY --from=builder --chown=nextjs:nodejs /app/public ./public
+
+# Copiar arquivos de build do Next.js (inclui node_modules standalone com next)
 COPY --from=builder --chown=nextjs:nodejs /app/.next/standalone ./
 COPY --from=builder --chown=nextjs:nodejs /app/.next/static ./.next/static
 
@@ -69,8 +85,11 @@ COPY --from=builder --chown=nextjs:nodejs /app/drizzle ./drizzle
 COPY --from=builder --chown=nextjs:nodejs /app/drizzle.config.ts ./drizzle.config.ts
 COPY --from=builder --chown=nextjs:nodejs /app/src/db ./src/db
 
-# Copiar node_modules para ter drizzle-kit disponível para migrations
+# Copiar entrypoint de migrations
-COPY --from=builder --chown=nextjs:nodejs /app/node_modules ./node_modules
+COPY docker-entrypoint.sh ./
+RUN sed -i 's/\r$//' /app/docker-entrypoint.sh && \
+    chmod +x /app/docker-entrypoint.sh && \
+    chown nextjs:nodejs /app/docker-entrypoint.sh
 
 # Definir variáveis de ambiente de produção
 ENV NODE_ENV=production \
@@ -81,16 +100,13 @@ ENV NODE_ENV=production \
 # Expor porta
 EXPOSE 3000
 
-# Ajustar permissões para o usuário nextjs
-RUN chown -R nextjs:nodejs /app
-
 # Mudar para usuário não-root
 USER nextjs
 
 # Health check
 HEALTHCHECK --interval=30s --timeout=10s --start-period=40s --retries=3 \
-  CMD node -e "require('http').get('http://localhost:3000/api/health', (r) => {process.exit(r.statusCode === 200 ? 0 : 1)})" || exit 1
+  CMD wget --quiet --tries=1 --spider http://localhost:3000/api/health || exit 1
 
-# Comando de inicialização
+# Entrypoint: roda migrations e depois executa o CMD
-# Nota: Em produção com standalone build, o servidor é iniciado pelo arquivo server.js
+ENTRYPOINT ["/app/docker-entrypoint.sh"]
 CMD ["node", "server.js"]

README.md

@@ -8,7 +8,7 @@
 
 > **⚠️ Não há versão online hospedada.** Você precisa clonar o repositório e rodar localmente ou no seu próprio servidor.
 
-[![Version](https://img.shields.io/badge/version-2.1.0-blue?style=flat-square)](CHANGELOG.md)
+[![Version](https://img.shields.io/badge/version-2.3.8-blue?style=flat-square)](CHANGELOG.md)
 [![Next.js](https://img.shields.io/badge/Next.js-black?style=flat-square&logo=next.js)](https://nextjs.org/)
 [![TypeScript](https://img.shields.io/badge/TypeScript-blue?style=flat-square&logo=typescript)](https://www.typescriptlang.org/)
 [![PostgreSQL](https://img.shields.io/badge/PostgreSQL-blue?style=flat-square&logo=postgresql)](https://www.postgresql.org/)
@@ -23,15 +23,21 @@
   <img src="./public/images/dashboard-preview-light.webp" alt="Dashboard Preview" width="800" />
 </p>
 
+<p align="center">
+  <img src="./public/images/preview-lancamentos-light.webp" alt="Lançamentos" width="800" />
+</p>
+
 ---
 
 ## 📖 Índice
 
 - [Sobre o Projeto](#-sobre-o-projeto)
-- [Instalação via Script](#-instalação-via-script)
+- [Como rodar o OpenMonetis](#-como-rodar-o-openmonetis)
-- [Início Rápido (manual)](#-início-rápido)
+  - [Perfil 1 — Usar](#perfil-1--usar-self-hosting)
+  - [Perfil 2 — Desenvolver](#perfil-2--desenvolver)
 - [Scripts Disponíveis](#-scripts-disponíveis)
 - [Docker](#-docker)
+- [Backup](#-backup)
 - [Storage S3 Compatível](#-storage-s3-compatível)
 - [Variáveis de Ambiente](#-variáveis-de-ambiente)
 - [Arquitetura](#-arquitetura)
@@ -53,7 +59,7 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 
 **1. Não há versão hospedada online** — Este projeto é self-hosted. Você precisa rodar no seu próprio computador ou servidor.
 
-**2. Não há Open Finance** — Não há conexão automática com bancos. Você pode registrar transações manualmente ou importar extratos nos formatos OFX e XLS/XLSX.
+**2. Não há Open Finance** — Não há conexão automática com bancos. Você pode registrar transações manualmente, usar o app companion para capturar notificações bancárias ou importar extratos nos formatos OFX e XLS/XLSX.
 
 **3. Requer disciplina** — O OpenMonetis funciona melhor para quem tem disciplina de registrar os gastos regularmente, quer controle total sobre seus dados e gosta de entender exatamente onde o dinheiro está indo.
 
@@ -77,7 +83,11 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 
 📅 **Calendário financeiro** — Visualize todos os lançamentos em um calendário mensal.
 
-📲 **OpenMonetis Companion** — App Android que captura notificações bancárias (Nubank, Itaú, Bradesco, Inter, C6 e outros) e envia como pré-lançamentos para revisão. [Repositório](https://github.com/felipegcoutinho/openmonetis-companion).
+📲 **OpenMonetis Companion** — App Android que captura notificações bancárias (Nubank, Itaú, Bradesco, Inter, C6 e outros) e envia automaticamente como pré-lançamentos para revisão — sem digitar nada. [Repositório](https://github.com/felipegcoutinho/openmonetis-companion).
+
+<p align="center">
+  <img src="./public/images/companion-preview-light.webp" alt="OpenMonetis Companion" width="300" height="600" />
+</p>
 
 ⚙️ **Personalização** — Tema dark/light e modo privacidade.
 
@@ -93,82 +103,87 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 
 ---
 
-## ⚡ Instalação via Script
+## 🚀 Como rodar o OpenMonetis
 
-A forma mais rápida de instalar. O script verifica dependências, configura o `.env` interativamente e sobe o banco automaticamente.
+Escolha o perfil que corresponde ao seu objetivo:
-
-**Pré-requisito:** Node.js 22+
-
-```bash
-# Mac / Linux / WSL
-curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs -o setup.mjs && node setup.mjs
-
-# Windows (PowerShell)
-curl -o setup.mjs https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs ; node setup.mjs
-```
-
-O script irá:
-- Verificar Node, pnpm, Git e Docker
-- Perguntar se quer banco local (Docker) ou remoto (Supabase, Neon, etc.)
-- Gerar o `BETTER_AUTH_SECRET` automaticamente
-- Configurar opcionais: Google OAuth, e-mail, IA, domínio público
-- Clonar o repositório, instalar dependências e aplicar o schema
 
 ---
 
-## 🚀 Início Rápido (manual)
+### Perfil 1 — Usar (self-hosting)
 
-### Pré-requisitos
+Só quer rodar o OpenMonetis. **Não precisa clonar o repositório nem instalar Node.js** — apenas Docker.
 
-- Node.js 22+ e pnpm
+```bash
-- Docker e Docker Compose
+# 1. Baixe o compose
+curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/docker-compose.yml -o docker-compose.yml
 
-### Passo a Passo
+# 2. Suba tudo
+docker compose up -d
+```
 
-1. **Clone e instale**
+Acesse em: `http://localhost:3000`
 
-   ```bash
+O banco sobe com credenciais padrão. Para personalizar (senha, Google OAuth, e-mail, IA...), crie um `.env` na mesma pasta **antes** de subir:
-   git clone https://github.com/felipegcoutinho/openmonetis.git
-   cd openmonetis
-   pnpm install
-   ```
 
-2. **Configure o `.env`**
+```bash
+# .env mínimo recomendado para produção
+BETTER_AUTH_SECRET=gere-um-valor-com-openssl-rand-base64-32
+BETTER_AUTH_URL=https://seu-dominio.com
+```
 
-   ```bash
+Veja todas as variáveis disponíveis em [Variáveis de Ambiente](#-variáveis-de-ambiente).
-   cp .env.example .env
-   ```
 
-   Edite o `.env` com suas credenciais. O principal é o `DATABASE_URL` e o `BETTER_AUTH_SECRET`:
+**Banco remoto (Supabase, Neon, Railway...):** defina `DATABASE_URL` no `.env` e suba só o app:
 
-   ```env
+```bash
-   # Banco local (Docker): use host "localhost"
+docker compose up -d app
-   DATABASE_URL=postgresql://openmonetis:openmonetis_dev_password@localhost:5432/openmonetis_db
+```
 
-   # Banco remoto (Supabase, Neon, etc): use a URL completa do provider
+**Não tem Docker instalado?** Em servidores Ubuntu 24.04 limpos, use o script de instalação:
-   # DATABASE_URL=postgresql://user:password@host:5432/database?sslmode=require
 
-   BETTER_AUTH_SECRET=seu-secret-aqui  # gere com: openssl rand -base64 32
+```bash
-   BETTER_AUTH_URL=http://localhost:3000
+curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/scripts/install-deps.sh -o install-deps.sh
-   ```
+sudo sh install-deps.sh
+```
 
-3. **Suba o banco de dados** (pule se estiver usando banco remoto)
+> Ao final, faça **logout e login** para as permissões do grupo `docker` terem efeito.
 
-   ```bash
+---
-   docker compose up db -d
-   pnpm db:extensions
-   ```
 
-4. **Execute as migrations e inicie**
+### Perfil 2 — Desenvolver
 
-   ```bash
+Quer modificar o código com hot-reload. O banco roda no Docker, o app roda direto no seu servidor.
-   pnpm db:push
-   pnpm dev
-   ```
 
-5. Acesse `http://localhost:3000`
+**Requisitos:** Docker + Node.js 22+ + pnpm
 
-> **Docker completo** (app + banco em containers): use `pnpm docker:up` ao invés dos passos 3-4.
+```bash
+# 1. Clone o repositório
+git clone https://github.com/felipegcoutinho/openmonetis.git
+cd openmonetis
+
+# 2. Instale as dependências
+pnpm install
+
+# 3. Configure o ambiente
+cp .env.example .env
+# Edite o .env com suas configurações
+
+# 4. Suba o banco
+pnpm docker:db
+
+# 5. Habilite extensões do PostgreSQL (apenas no primeiro setup)
+pnpm db:extensions
+
+# 6. Aplique o schema no banco (apenas no primeiro setup)
+pnpm db:push
+
+# 7. Inicie o app com hot-reload
+pnpm dev
+```
+
+Acesse em: `http://localhost:3000`
+
+Toda vez que salvar um arquivo, o app atualiza automaticamente sem precisar reiniciar.
 
 ---
 
@@ -190,47 +205,62 @@ pnpm lint:fix         # Biome auto-fix
 pnpm db:generate      # Gerar migrations
 pnpm db:migrate       # Executar migrations
 pnpm db:push          # Push schema direto (dev)
+pnpm db:extensions    # Habilitar extensões PostgreSQL (rodar uma vez)
 pnpm db:studio        # Drizzle Studio (UI visual)
 ```
 
 ### Utilitários
 
 ```bash
-pnpm backup           # Backup do banco (requer scripts/backup.sh configurado)
+pnpm backup           # Backup completo do banco (ver seção Backup)
 ```
 
 ### Docker
 
 ```bash
-pnpm docker:up        # Subir app + banco
+pnpm docker:up      # Sobe app (Docker Hub) + banco em background
-pnpm docker:up:d      # Subir em background
+pnpm docker:db      # Sobe apenas o banco em background (usar com pnpm dev)
-pnpm docker:up:db     # Subir apenas o banco
+pnpm docker:down    # Para e remove os containers
-pnpm docker:down      # Parar containers
+pnpm docker:logs    # Logs em tempo real (todos os containers)
-pnpm docker:down:volumes  # Parar e remover volumes (⚠️ apaga dados!)
+pnpm docker:update  # Atualiza para a imagem mais recente do Hub e reinicia
-pnpm docker:logs      # Logs em tempo real
-pnpm docker:restart   # Reiniciar
-pnpm docker:rebuild   # Rebuild completo
 ```
 
 ---
 
 ## 🐳 Docker
 
-O `Dockerfile` usa multi-stage build (deps → builder → runner) com imagem final ~200MB rodando como usuário não-root.
+O `Dockerfile` usa multi-stage build (deps → builder → runner) com imagem final ~200MB rodando como usuário não-root. Health checks configurados para ambos os serviços (PostgreSQL via `pg_isready`, app via `GET /api/health`).
 
-Health checks configurados para ambos os serviços (PostgreSQL via `pg_isready`, app via `GET /api/health`).
+### Self-hosting (recomendado)
+
+Baixe apenas o `docker-compose.yml` e suba tudo — sem clonar o repositório, sem instalar dependências:
+
+```bash
+curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/docker-compose.yml -o docker-compose.yml
+docker compose up -d
+```
+
+As credenciais padrão do banco já estão configuradas. Para personalizar (senhas, opcionais), crie um `.env` na mesma pasta antes de subir — veja [Variáveis de Ambiente](#-variáveis-de-ambiente).
+
+### Banco remoto (Supabase, Neon, Railway...)
+
+Suba apenas o app e aponte para o banco externo via `DATABASE_URL` no `.env`:
+
+```bash
+docker compose up -d app
+```
 
 ### Comandos úteis
 
 ```bash
-docker compose exec app sh                                      # Shell da aplicação
+docker compose exec app sh                                       # Shell da aplicação
 docker compose exec db psql -U openmonetis -d openmonetis_db    # Shell do banco
 docker compose ps                                                # Status
-docker compose exec db pg_dump -U openmonetis openmonetis_db > backup.sql  # Backup
+docker compose exec db pg_dump -U openmonetis openmonetis_db > backup.sql   # Backup
 docker compose exec -T db psql -U openmonetis -d openmonetis_db < backup.sql  # Restore
 ```
 
-### Customizando Portas
+### Customizando portas
 
 ```env
 APP_PORT=3001   # Padrão: 3000
@@ -239,6 +269,68 @@ DB_PORT=5433    # Padrão: 5432
 
 ---
 
+## 💾 Backup
+
+O backup é uma rotina de infraestrutura — não é uma tela no app. Ele opera diretamente sobre o banco PostgreSQL e é executado via linha de comando.
+
+```bash
+pnpm backup
+```
+
+### O que é salvo
+
+Cada execução gera **3 arquivos** em `backup/`:
+
+| Arquivo | Conteúdo | Uso |
+|---|---|---|
+| `openmonetis_YYYY-MM-DD_HH-MM.dump` | Dump custom do PostgreSQL (binário) | Restore completo via `pg_restore` |
+| `openmonetis_YYYY-MM-DD_HH-MM.sql.gz` | Dump SQL completo compactado | Inspeção manual, portabilidade |
+| `openmonetis_YYYY-MM-DD_HH-MM.data.sql.gz` | Apenas os dados da schema `public` | Migração parcial, seed de outro ambiente |
+
+### Modos de conexão
+
+Configure `DB_MODE` no topo de `scripts/backup.sh`:
+
+| Modo | Quando usar | Fonte de dados |
+|---|---|---|
+| `remote` (padrão) | Banco em Supabase, Neon, Railway, etc. | `DATABASE_URL` do `.env` |
+| `docker` | Banco no container local | Container `openmonetis_postgres` |
+
+### Upload para Google Drive (opcional)
+
+Se o [rclone](https://rclone.org/) estiver instalado e configurado com um remote chamado `gdrive`, os arquivos são enviados automaticamente para `gdrive:BACKUP OPENMONETIS`. Sem o rclone, o backup funciona normalmente e fica apenas local.
+
+**Retenção:**
+- Local: 7 dias
+- Google Drive: 30 dias
+
+### Automatizar com cron
+
+Para rodar o backup automaticamente todo dia às 3h:
+
+```bash
+crontab -e
+```
+
+```cron
+0 3 * * * cd /caminho/para/openmonetis && pnpm backup >> /var/log/openmonetis-backup.log 2>&1
+```
+
+### Restore
+
+```bash
+# A partir do .dump (recomendado — mais rápido)
+pg_restore --clean --no-owner --no-privileges \
+  -d "postgresql://user:senha@host:5432/openmonetis_db" \
+  backup/openmonetis_YYYY-MM-DD_HH-MM.dump
+
+# A partir do .sql.gz (banco local via Docker)
+gunzip -c backup/openmonetis_YYYY-MM-DD_HH-MM.sql.gz | \
+  docker compose exec -T db psql -U openmonetis -d openmonetis_db
+```
+
+---
+
 ## ☁️ Storage S3 Compatível
 
 O suporte a anexos de lançamentos usa upload direto com URL pré-assinada. Essa configuração é opcional, mas passa a ser necessária se você quiser habilitar anexos no app.
@@ -256,7 +348,7 @@ S3_BUCKET=
 ### Compatibilidade
 
 - O código atual espera um provider com API compatível com S3 e suporte a `PutObject`, `GetObject`, `HeadObject`, `DeleteObject` e URLs pré-assinadas.
-- A implementação usa `endpoint` customizado e `forcePathStyle: true` em [`src/shared/lib/storage/s3-client.ts`](/home/ubuntu/github/openmonetis/src/shared/lib/storage/s3-client.ts).
+- A implementação usa `endpoint` customizado e `forcePathStyle: true` em [`src/shared/lib/storage/s3-client.ts`](./src/shared/lib/storage/s3-client.ts).
 - Em geral isso cobre MinIO, Cloudflare R2, Backblaze B2 S3-Compatible, DigitalOcean Spaces e AWS S3. Mas foi testado apenas no Supabase Storage.
 - Se o seu provider exigir `virtual-hosted-style` em vez de `path-style`, você vai precisar ajustar essa configuração antes de usar anexos.
 - Se as variáveis de S3 não forem configuradas, mantenha os anexos desabilitados no seu fluxo de uso.

biome.json

@@ -1,5 +1,5 @@
 {
-	"$schema": "https://biomejs.dev/schemas/2.4.8/schema.json",
+	"$schema": "https://biomejs.dev/schemas/2.4.10/schema.json",
 	"vcs": {
 		"enabled": true,
 		"clientKind": "git",

docker-compose.yml

@@ -1,138 +1,51 @@
-# Docker Compose para Next.js + PostgreSQL
 name: openmonetis
 
-# MODOS DE USO:
-# 1. Banco LOCAL (PostgreSQL em container):
-#    - Configure DATABASE_URL com host "db" no .env
-#    - Execute: docker compose up
-#
-# 2. Banco REMOTO (ex: Supabase, Neon, etc):
-#    - Configure DATABASE_URL com a URL do banco remoto no .env
-#    - Execute: docker compose up app (apenas o serviço app)
-#
-# 3. Para parar todos os serviços:
-#    - Execute: docker compose down
-#
-# 4. Para remover volumes (CUIDADO: apaga dados do banco local):
-#    - Execute: docker compose down -v
-
 services:
-  # ============================================
-  # Serviço: PostgreSQL (Banco de dados local)
-  # ============================================
   db:
     image: postgres:18-alpine
     container_name: openmonetis_postgres
     restart: unless-stopped
-
     environment:
       POSTGRES_USER: ${POSTGRES_USER:-openmonetis}
       POSTGRES_PASSWORD: ${POSTGRES_PASSWORD:-openmonetis_dev_password}
       POSTGRES_DB: ${POSTGRES_DB:-openmonetis_db}
-      PGDATA: /var/lib/postgresql/data
       POSTGRES_INITDB_ARGS: "-E UTF8 --locale=C"
-
     ports:
       - "${DB_PORT:-5432}:5432"
-
     volumes:
       - postgres_data:/var/lib/postgresql/data
-
-    # Cria extensão pgcrypto inline (necessária para gen_random_bytes no schema)
-    entrypoint: ["/bin/sh", "-c"]
-    command:
-      - |
-        echo 'CREATE EXTENSION IF NOT EXISTS pgcrypto;' > /docker-entrypoint-initdb.d/init.sql
-        exec docker-entrypoint.sh postgres
-
     healthcheck:
-      test:
+      test: ["CMD-SHELL", "pg_isready -U ${POSTGRES_USER:-openmonetis} -d ${POSTGRES_DB:-openmonetis_db}"]
-        [
-          "CMD-SHELL",
-          "pg_isready -U ${POSTGRES_USER:-openmonetis} -d ${POSTGRES_DB:-openmonetis_db}",
-        ]
       interval: 10s
       timeout: 5s
       retries: 5
       start_period: 10s
 
-    # Para ativar logs de queries (debug), adicione ao command acima:
-    # exec docker-entrypoint.sh postgres -c log_statement=all
-
-  # ============================================
-  # Serviço: Aplicação Next.js
-  # ============================================
   app:
     image: felipegcoutinho/openmonetis:latest
-
     container_name: openmonetis_app
     restart: unless-stopped
-
     ports:
       - "${APP_PORT:-3000}:3000"
-
+    env_file:
+      - path: .env
+        required: false
     environment:
       NODE_ENV: production
-
+      DATABASE_URL: ${DATABASE_URL:-postgresql://openmonetis:openmonetis_dev_password@db:5432/openmonetis_db}
-      # Banco local: use host "db" | Banco remoto: URL completa do provider
+      BETTER_AUTH_SECRET: ${BETTER_AUTH_SECRET:-}
-      DATABASE_URL: ${DATABASE_URL}
-
-      BETTER_AUTH_SECRET: ${BETTER_AUTH_SECRET}
       BETTER_AUTH_URL: ${BETTER_AUTH_URL:-http://localhost:3000}
-
-      # Email (opcional)
-      RESEND_API_KEY: ${RESEND_API_KEY:-}
-      RESEND_FROM_EMAIL: ${RESEND_FROM_EMAIL:-}
-
-      # OAuth (opcional)
-      GOOGLE_CLIENT_ID: ${GOOGLE_CLIENT_ID:-}
-      GOOGLE_CLIENT_SECRET: ${GOOGLE_CLIENT_SECRET:-}
-      GITHUB_CLIENT_ID: ${GITHUB_CLIENT_ID:-}
-      GITHUB_CLIENT_SECRET: ${GITHUB_CLIENT_SECRET:-}
-
-      # AI providers (opcional)
-      ANTHROPIC_API_KEY: ${ANTHROPIC_API_KEY:-}
-      OPENAI_API_KEY: ${OPENAI_API_KEY:-}
-      GOOGLE_GENERATIVE_AI_API_KEY: ${GOOGLE_GENERATIVE_AI_API_KEY:-}
-      OPENROUTER_API_KEY: ${OPENROUTER_API_KEY:-}
-
-    # Só depende do 'db' se estiver usando banco local
-    # Para banco remoto, comente as linhas abaixo
     depends_on:
       db:
         condition: service_healthy
-
+        required: false
-    # Script de inicialização: roda migrations antes de iniciar o app
-    entrypoint: ["/bin/sh", "-c"]
-    command:
-      - |
-        echo "Aguardando banco de dados..."
-        sleep 5
-
-        echo "Rodando migrations..."
-        pnpm db:push || echo "Migrations falharam ou já estão atualizadas"
-
-        echo "Iniciando aplicação Next.js..."
-        node server.js
-
     healthcheck:
-      test:
+      test: ["CMD", "wget", "--quiet", "--tries=1", "--spider", "http://localhost:3000/api/health"]
-        [
-          "CMD",
-          "wget",
-          "--quiet",
-          "--tries=1",
-          "--spider",
-          "http://localhost:3000/api/health",
-        ]
       interval: 30s
       timeout: 10s
       retries: 3
       start_period: 40s
 
-# ============================================
-# Volumes
-# ============================================
 volumes:
   postgres_data:
     driver: local

docker-entrypoint.sh

@@ -0,0 +1,26 @@
+#!/bin/sh
+
+echo "Habilitando extensão pgcrypto..."
+node -e "
+const { Client } = require('/app/migrate/node_modules/pg');
+const c = new Client({ connectionString: process.env.DATABASE_URL });
+c.connect()
+  .then(() => c.query('CREATE EXTENSION IF NOT EXISTS pgcrypto'))
+  .then(() => c.end())
+  .catch((e) => { console.error('Aviso pgcrypto:', e.message); process.exit(0); });
+"
+
+echo "Rodando migrations..."
+MIGRATED=0
+for i in 1 2 3 4 5; do
+  if NODE_PATH=/app/migrate/node_modules /app/migrate/node_modules/.bin/drizzle-kit push; then
+    MIGRATED=1
+    break
+  fi
+  echo "Tentativa $i/5 falhou. Aguardando 5s..."
+  sleep 5
+done
+
+[ "$MIGRATED" -eq 0 ] && echo "Aviso: migrations não foram aplicadas."
+
+exec "$@"

drizzle/0024_petite_lucky_pierre.sql

@@ -0,0 +1 @@
+ALTER TABLE "preferencias_usuario" ADD COLUMN "attachment_max_size_mb" integer DEFAULT 50 NOT NULL;

drizzle/meta/_journal.json

@@ -169,6 +169,13 @@
 			"when": 1774529878374,
 			"tag": "0023_sturdy_wolfpack",
 			"breakpoints": true
+		},
+		{
+			"idx": 24,
+			"version": "7",
+			"when": 1774891206703,
+			"tag": "0024_petite_lucky_pierre",
+			"breakpoints": true
 		}
 	]
 }

knip.jsonc

@@ -0,0 +1,22 @@
+{
+	"$schema": "https://unpkg.com/knip@6/schema-jsonc.json",
+	// Exclude shared UI primitives from dead code reporting while we focus the
+	// cleanup on feature and domain code first.
+	"ignore": [
+		"src/shared/components/ui/**"
+	],
+	// Runtime asset referenced by string in the PDF viewer.
+	"ignoreFiles": [
+		"public/pdf.worker.min.mjs",
+		"setup.mjs"
+	],
+	// PostCSS is inferred from the config file, but the project only depends on
+	// the Tailwind PostCSS plugin directly.
+	"ignoreDependencies": [
+		"postcss"
+	],
+	"next": true,
+	"postcss": true,
+	"biome": true,
+	"drizzle": true
+}

next.config.ts

@@ -6,16 +6,24 @@ dotenv.config();
 
 const nextConfig: NextConfig = {
 	output: "standalone",
-	experimental: {
+	cacheComponents: true,
-		turbopackFileSystemCacheForDev: true,
-	},
 	reactCompiler: true,
+
 	images: {
-		remotePatterns: [new URL("https://lh3.googleusercontent.com/**")],
+		remotePatterns: [
+			new URL("https://lh3.googleusercontent.com/**"),
+			{ protocol: "https", hostname: "**" },
+			{ protocol: "http", hostname: "**" },
+		],
 	},
 	devIndicators: {
 		position: "bottom-right",
 	},
+	experimental: {
+		prefetchInlining: true,
+		turbopackFileSystemCacheForDev: true,
+	},
+
 	// Headers for Safari compatibility
 	async headers() {
 		return [
@@ -39,8 +47,12 @@ const nextConfig: NextConfig = {
 						value: "DENY",
 					},
 					{
-						key: "Content-Security-Policy",
+						key: "Referrer-Policy",
-						value: "frame-ancestors 'none';",
+						value: "strict-origin-when-cross-origin",
+					},
+					{
+						key: "X-Permitted-Cross-Domain-Policies",
+						value: "none",
 					},
 					{
 						key: "Permissions-Policy",

package.json

@@ -1,43 +1,54 @@
 {
 	"name": "openmonetis",
-	"version": "2.1.1",
+	"version": "2.3.8",
 	"private": true,
+	"packageManager": "pnpm@10.33.0",
 	"scripts": {
 		"dev": "next dev --turbopack",
 		"db:seed": "tsx scripts/mock-data.ts",
 		"build": "next build",
 		"start": "next start",
 		"lint": "biome check .",
+		"lint:deadcode": "knip --reporter compact",
 		"lint:fix": "biome check --write .",
-		"env:setup": "bash scripts/setup-env.sh",
+		"env:setup": "node setup.mjs",
 		"db:generate": "drizzle-kit generate",
 		"db:migrate": "drizzle-kit migrate",
 		"db:push": "drizzle-kit push",
 		"db:extensions": "tsx scripts/postgres/enable-extensions.ts",
 		"db:studio": "drizzle-kit studio",
-		"docker:up": "docker compose up --build",
+		"postinstall": "cp node_modules/pdfjs-dist/build/pdf.worker.min.mjs public/pdf.worker.min.mjs",
-		"docker:up:db": "docker compose up -d db",
+
-		"docker:up:d": "docker compose up --build -d",
+		"// --- Docker ---": "---",
+
+		"docker:up": "docker compose up -d",
+		"//docker:up": "Sobe app (Docker Hub) + banco PostgreSQL em background",
+
+		"docker:db": "docker compose up -d db",
+		"//docker:db": "Sobe apenas o banco em background (para usar com pnpm dev)",
+
 		"docker:down": "docker compose down",
-		"docker:down:volumes": "docker compose down -v",
+		"//docker:down": "Para e remove os containers",
+
 		"docker:logs": "docker compose logs -f",
-		"docker:logs:app": "docker compose logs -f app",
+		"//docker:logs": "Acompanha logs de todos os containers em tempo real",
-		"docker:logs:db": "docker compose logs -f db",
+
-		"docker:restart": "docker compose restart",
+		"docker:update": "docker compose pull && docker compose up -d",
-		"docker:rebuild": "docker compose up --build --force-recreate",
+		"//docker:update": "Atualiza para a imagem mais recente do Docker Hub e reinicia",
+
 		"backup": "bash scripts/backup.sh"
 	},
 	"dependencies": {
-		"@ai-sdk/anthropic": "^3.0.64",
+		"@ai-sdk/anthropic": "^3.0.68",
-		"@ai-sdk/google": "^3.0.53",
+		"@ai-sdk/google": "^3.0.61",
-		"@ai-sdk/openai": "^3.0.48",
+		"@ai-sdk/openai": "^3.0.52",
-		"@aws-sdk/client-s3": "^3.1019.0",
+		"@aws-sdk/client-s3": "^3.1027.0",
-		"@aws-sdk/s3-request-presigner": "^3.1019.0",
+		"@aws-sdk/s3-request-presigner": "^3.1027.0",
-		"@better-auth/passkey": "^1.5.6",
+		"@better-auth/passkey": "^1.6.2",
 		"@dnd-kit/core": "^6.3.1",
 		"@dnd-kit/sortable": "^10.0.0",
 		"@dnd-kit/utilities": "^3.2.2",
-		"@openrouter/ai-sdk-provider": "^2.3.3",
+		"@openrouter/ai-sdk-provider": "^2.5.1",
 		"@radix-ui/react-alert-dialog": "1.1.15",
 		"@radix-ui/react-avatar": "1.1.11",
 		"@radix-ui/react-checkbox": "1.3.3",
@@ -58,43 +69,51 @@
 		"@radix-ui/react-toggle-group": "1.1.11",
 		"@radix-ui/react-tooltip": "1.2.8",
 		"@remixicon/react": "4.9.0",
+		"@tanstack/react-query": "^5.97.0",
 		"@tanstack/react-table": "8.21.3",
 		"@tanstack/react-virtual": "^3.13.23",
-		"ai": "^6.0.141",
+		"ai": "^6.0.154",
-		"better-auth": "1.5.6",
+		"better-auth": "1.6.2",
 		"canvas-confetti": "^1.9.4",
 		"class-variance-authority": "0.7.1",
 		"clsx": "2.1.1",
 		"cmdk": "^1.1.1",
 		"date-fns": "^4.1.0",
 		"drizzle-orm": "0.45.2",
+		"exceljs": "^4.4.0",
 		"jspdf": "^4.2.1",
 		"jspdf-autotable": "^5.0.7",
-		"next": "16.1.7",
+		"next": "16.2.3",
 		"next-themes": "0.4.6",
+		"pdfjs-dist": "^5.6.205",
 		"pg": "8.20.0",
 		"radix-ui": "^1.4.3",
-		"react": "19.2.4",
+		"react": "19.2.5",
 		"react-day-picker": "^9.14.0",
-		"react-dom": "19.2.4",
+		"react-dom": "19.2.5",
 		"recharts": "3.8.1",
-		"resend": "^6.9.4",
+		"resend": "^6.10.0",
 		"sonner": "2.0.7",
 		"tailwind-merge": "3.5.0",
 		"vaul": "1.1.2",
-		"xlsx": "^0.18.5",
 		"zod": "4.3.6"
 	},
+	"pnpm": {
+		"overrides": {
+			"defu": "6.1.7"
+		}
+	},
 	"devDependencies": {
-		"@biomejs/biome": "2.4.9",
+		"@biomejs/biome": "2.4.10",
 		"@tailwindcss/postcss": "4.2.2",
 		"@types/canvas-confetti": "^1.9.0",
-		"@types/node": "25.5.0",
+		"@types/node": "25.5.2",
 		"@types/pg": "^8.20.0",
 		"@types/react": "19.2.14",
 		"@types/react-dom": "19.2.3",
-		"dotenv": "^17.3.1",
+		"dotenv": "^17.4.1",
 		"drizzle-kit": "0.31.10",
+		"knip": "^6.3.1",
 		"tailwindcss": "4.2.2",
 		"tsx": "4.21.0",
 		"typescript": "6.0.2"

public/.well-known/security.txt

@@ -0,0 +1,4 @@
+Contact: https://github.com/felipegcoutinho/openmonetis/security/advisories
+Expires: 2027-04-04T00:00:00.000Z
+Preferred-Languages: pt-BR, en
+Canonical: https://openmonetis.com/.well-known/security.txt

public/fonts/font_index.ts

@@ -1,15 +1,9 @@
-import localFont from "next/font/local";
+import { Inter } from "next/font/google";
 
-export const america = localFont({
+export const inter = Inter({
-	src: [
+	subsets: ["latin"],
-		{
-			path: "./america-regular.woff2",
-			weight: "400",
-			style: "normal",
-		},
-	],
 	display: "swap",
-	variable: "--font-america",
+	variable: "--font-inter",
+	fallback: ["ui-sans-serif", "system-ui"],
+	preload: true,
 });
-
-export const americaFontVariable = america.variable;

public/llms.txt

@@ -0,0 +1,37 @@
+# OpenMonetis
+
+> OpenMonetis is a self-hosted personal finance web app for manual financial control. It helps users manage accounts, cards, invoices, budgets, notes, reports, attachments, and AI-generated insights. The product UI is in Brazilian Portuguese, the codebase uses English folder and import names, and there is no hosted SaaS version.
+>
+> **Stack:** Next.js 16, React 19, PostgreSQL, Drizzle ORM, Better Auth, Tailwind CSS 4, shadcn/ui. Package manager: pnpm. Linter: Biome.
+
+OpenMonetis is meant to be deployed by the user on their own machine or server.
+There is no Open Finance or automatic bank synchronization.
+Transactions can be entered manually or imported from OFX and XLS/XLSX files.
+Attachments are optional and require S3-compatible storage.
+The public website is mainly a landing page; the main technical documentation lives in the GitHub repository.
+
+## Docs
+
+- [Landing page](/): Public homepage and high-level product overview
+- [README](https://github.com/felipegcoutinho/openmonetis/blob/main/README.md): Main project documentation covering features, installation, Docker, environment variables, architecture, contributing, and license
+- [CHANGELOG](https://github.com/felipegcoutinho/openmonetis/blob/main/CHANGELOG.md): Release history and notable changes
+- [LICENSE](https://github.com/felipegcoutinho/openmonetis/blob/main/LICENSE): CC BY-NC-SA 4.0 license terms
+
+## Setup
+
+- [Setup script](https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs): Interactive installer for local or self-hosted setup
+- [Environment example](https://github.com/felipegcoutinho/openmonetis/blob/main/.env.example): Required and optional environment variables
+- [Docker Compose](https://github.com/felipegcoutinho/openmonetis/blob/main/docker-compose.yml): Local app and PostgreSQL stack definition
+
+## Architecture
+
+- [CLAUDE.md](https://github.com/felipegcoutinho/openmonetis/blob/main/CLAUDE.md): Project architecture, naming rules, query rules, and feature checklist
+
+## Optional
+
+- [robots.txt](/robots.txt): Crawl policy for the public site
+
+## Related Projects
+
+- [OpenMonetis Companion](https://github.com/felipegcoutinho/openmonetis-companion): Android app that captures bank notifications and sends them to the OpenMonetis inbox for review
+

scripts/dev.ts

@@ -1,17 +0,0 @@
-#!/usr/bin/env tsx
-
-import { execSync } from "node:child_process";
-import { config } from "dotenv";
-
-// Carregar variáveis de ambiente
-config();
-
-const port = process.env.PORT || "3000";
-
-console.log(`Starting Next.js development server on port ${port}...`);
-
-// Executar next dev com a porta especificada
-execSync(`npx next dev --turbopack --port ${port}`, {
-	stdio: "inherit",
-	env: { ...process.env, PORT: port },
-});

scripts/install-deps.sh

@@ -0,0 +1,245 @@
+#!/bin/sh
+# install-deps.sh — Instala pré-requisitos do OpenMonetis
+# Testado apenas em Ubuntu Server 24.04 LTS
+# Uso: curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/scripts/install-deps.sh -o install-deps.sh
+#      sudo sh install-deps.sh
+
+set -e
+
+LOG_FILE="/tmp/openmonetis-install.log"
+> "$LOG_FILE"
+
+# Suprimir prompt interativo do corepack ao chamar pnpm/node versioning
+export COREPACK_ENABLE_DOWNLOAD_PROMPT=0
+
+# ── Cores ──────────────────────────────────────────────────────────────────────
+GREEN='\033[0;32m'
+YELLOW='\033[1;33m'
+RED='\033[0;31m'
+CYAN='\033[0;36m'
+BOLD='\033[1m'
+RESET='\033[0m'
+
+ok()   { printf "${GREEN}✔${RESET} %s\n" "$1"; }
+warn() { printf "${YELLOW}!${RESET} %s\n" "$1"; }
+info() { printf "${CYAN}→${RESET} %s\n" "$1"; }
+fail() { printf "${RED}✗${RESET} %s\n" "$1"; exit 1; }
+
+# ── Contador de etapas ─────────────────────────────────────────────────────────
+_STEP=0
+_TOTAL=5
+
+section() {
+  _STEP=$((_STEP + 1))
+  printf "\n${BOLD}[%d/%d] %s${RESET}\n" "$_STEP" "$_TOTAL" "$1"
+}
+
+# ── Spinner ────────────────────────────────────────────────────────────────────
+_spin_pid=""
+
+spinner_start() {
+  _spin_label="$1"
+  ( i=0
+    while true; do
+      case $((i % 4)) in
+        0) d="   " ;; 1) d=".  " ;; 2) d=".. " ;; *) d="..." ;;
+      esac
+      printf "\r${CYAN}→${RESET} %s%s" "$_spin_label" "$d"
+      i=$((i + 1))
+      sleep 0.4
+    done
+  ) &
+  _spin_pid=$!
+}
+
+spinner_stop() {
+  if [ -n "$_spin_pid" ]; then
+    kill "$_spin_pid" 2>/dev/null || true
+    wait "$_spin_pid" 2>/dev/null || true
+    _spin_pid=""
+    printf "\r\033[2K"
+  fi
+}
+
+# ── Executores silenciosos com spinner ─────────────────────────────────────────
+
+# run_quiet "label" cmd [args...]  — roda comando com spinner, falha mostra log
+run_quiet() {
+  _rq_label="$1"; shift
+  spinner_start "$_rq_label"
+  if ! "$@" >> "$LOG_FILE" 2>&1; then
+    spinner_stop
+    printf "${RED}✗ Falha em: %s${RESET}\n" "$_rq_label"
+    printf "  Log completo: %s\n\n" "$LOG_FILE"
+    tail -20 "$LOG_FILE"
+    exit 1
+  fi
+  spinner_stop
+}
+
+# run_as_user "label" "comando_shell"  — roda comando como $CURRENT_USER com spinner
+run_as_user() {
+  _ru_label="$1"; shift
+  spinner_start "$_ru_label"
+  if ! su - "$CURRENT_USER" -c "$*" >> "$LOG_FILE" 2>&1; then
+    spinner_stop
+    printf "${RED}✗ Falha em: %s${RESET}\n" "$_ru_label"
+    printf "  Log completo: %s\n\n" "$LOG_FILE"
+    tail -20 "$LOG_FILE"
+    exit 1
+  fi
+  spinner_stop
+}
+
+# ── Cleanup no Ctrl+C ──────────────────────────────────────────────────────────
+cleanup() {
+  spinner_stop
+  printf "\n${YELLOW}Instalação interrompida.${RESET} Log em: %s\n" "$LOG_FILE"
+  exit 1
+}
+trap cleanup INT TERM
+
+# ── Tempo total ────────────────────────────────────────────────────────────────
+_START=$(date +%s)
+elapsed() {
+  _secs=$(( $(date +%s) - _START ))
+  printf "%dm%ds" $((_secs / 60)) $((_secs % 60))
+}
+
+# ── Root check ─────────────────────────────────────────────────────────────────
+if [ "$(id -u)" -ne 0 ]; then
+  fail "Execute como root ou com sudo: sudo sh install-deps.sh"
+fi
+
+CURRENT_USER="${SUDO_USER:-$(whoami)}"
+
+printf "\n${BOLD}OpenMonetis — Instalação de Dependências${RESET}\n"
+printf "Usuário: ${CYAN}%s${RESET} | Log: %s\n" "$CURRENT_USER" "$LOG_FILE"
+
+# ── [1/5] Dependências base ────────────────────────────────────────────────────
+section "Dependências base"
+run_quiet "Atualizando lista de pacotes"       apt-get update -qq
+run_quiet "Instalando git, curl, ca-certificates" apt-get install -y -qq ca-certificates curl git
+ok "git $(git --version | cut -d' ' -f3) · curl · ca-certificates"
+
+# ── [2/5] Docker ───────────────────────────────────────────────────────────────
+section "Docker"
+
+if command -v docker > /dev/null 2>&1; then
+  ok "Docker já instalado: $(docker --version | cut -d',' -f1)"
+else
+  info "Adicionando repositório oficial do Docker..."
+  install -m 0755 -d /etc/apt/keyrings
+  run_quiet "Baixando chave GPG do Docker" \
+    curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
+  chmod a+r /etc/apt/keyrings/docker.asc
+
+  . /etc/os-release
+  mkdir -p /etc/apt/sources.list.d
+  printf 'deb [arch=%s signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu %s stable\n' \
+    "$(dpkg --print-architecture)" "$VERSION_CODENAME" \
+    > /etc/apt/sources.list.d/docker.list
+
+  run_quiet "Atualizando lista de pacotes" apt-get update -qq
+  run_quiet "Instalando Docker Engine (pode levar alguns minutos)" \
+    apt-get install -y -qq docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
+
+  systemctl enable docker > /dev/null 2>&1 || true
+  systemctl start docker  > /dev/null 2>&1 || true
+  ok "Docker $(docker --version | cut -d',' -f1 | cut -d' ' -f3) instalado"
+fi
+
+if docker compose version > /dev/null 2>&1; then
+  ok "Docker Compose $(docker compose version | cut -d' ' -f4)"
+else
+  run_quiet "Instalando Docker Compose plugin" \
+    sh -c 'mkdir -p /usr/local/lib/docker/cli-plugins && curl -fsSL "https://github.com/docker/compose/releases/latest/download/docker-compose-linux-$(uname -m)" -o /usr/local/lib/docker/cli-plugins/docker-compose && chmod +x /usr/local/lib/docker/cli-plugins/docker-compose'
+  ok "Docker Compose $(docker compose version | cut -d' ' -f4) instalado"
+fi
+
+if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
+  if ! groups "$CURRENT_USER" | grep -q docker; then
+    usermod -aG docker "$CURRENT_USER"
+    warn "Usuário '$CURRENT_USER' adicionado ao grupo docker — faça logout/login para aplicar"
+  else
+    ok "Usuário '$CURRENT_USER' já está no grupo docker"
+  fi
+fi
+
+# ── [3/5] Homebrew ─────────────────────────────────────────────────────────────
+section "Homebrew"
+
+if command -v brew > /dev/null 2>&1; then
+  ok "Homebrew já instalado: $(brew --version | head -1)"
+else
+  warn "Esta etapa pode levar de 5 a 10 minutos."
+  run_quiet "Instalando dependências de compilação" \
+    apt-get install -y -qq build-essential procps file
+
+  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
+    run_as_user "Instalando Homebrew" \
+      'NONINTERACTIVE=1 bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"'
+
+    BREW_PROFILE="/home/$CURRENT_USER/.bashrc"
+    BREW_EVAL='eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)"'
+    grep -qxF "$BREW_EVAL" "$BREW_PROFILE" 2>/dev/null || echo "$BREW_EVAL" >> "$BREW_PROFILE"
+    export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
+    eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
+  else
+    fail "Homebrew não pode ser instalado como root. Use sudo com um usuário normal."
+  fi
+
+  ok "Homebrew instalado"
+fi
+
+# ── [4/5] Node.js 22 ───────────────────────────────────────────────────────────
+section "Node.js 22"
+
+NODE_MAJOR=0
+if command -v node > /dev/null 2>&1; then
+  NODE_MAJOR=$(node -e "process.stdout.write(String(parseInt(process.versions.node)))")
+fi
+
+if [ "$NODE_MAJOR" -ge 22 ] 2>/dev/null; then
+  ok "Node.js já instalado: $(node --version)"
+else
+  warn "Node.js via Homebrew pode levar alguns minutos."
+  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
+    run_as_user "Instalando Node.js 22" \
+      'eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" && brew install node@22 && brew link node@22 --force --overwrite'
+    export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
+    eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
+  else
+    fail "Node.js via Homebrew não pode ser instalado como root."
+  fi
+  ok "Node.js $(node --version) instalado"
+fi
+
+# ── [5/5] pnpm ─────────────────────────────────────────────────────────────────
+section "pnpm"
+
+if command -v pnpm > /dev/null 2>&1; then
+  ok "pnpm já instalado: $(pnpm --version)"
+else
+  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
+    run_as_user "Instalando pnpm via corepack" \
+      'eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" && corepack enable && COREPACK_ENABLE_DOWNLOAD_PROMPT=0 corepack prepare pnpm@latest --activate'
+  else
+    run_quiet "Instalando pnpm via corepack" \
+      sh -c 'corepack enable && COREPACK_ENABLE_DOWNLOAD_PROMPT=0 corepack prepare pnpm@latest --activate'
+  fi
+  ok "pnpm instalado"
+fi
+
+# ── Resumo ─────────────────────────────────────────────────────────────────────
+# Garantir que node/pnpm do brew estejam no PATH para o resumo
+export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
+eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
+
+printf "\n${BOLD}Concluído em $(elapsed)${RESET}\n"
+
+ok "git:            $(git --version | cut -d' ' -f3)"
+ok "docker:         $(docker --version | cut -d',' -f1 | cut -d' ' -f3)"
+ok "docker compose: $(docker compose version | cut -d' ' -f4)"
+ok "node:           $(node --version)"
+ok "pnpm:           $(pnpm --version)"

scripts/setup-env.sh

@@ -1,49 +0,0 @@
-#!/bin/bash
-
-# Script para configurar ambiente de forma segura
-# Cria backup do .env atual antes de sobrescrever
-
-set -e
-
-echo "🔧 Configurando ambiente..."
-
-# Se .env já existe, criar backup
-if [ -f .env ]; then
-  BACKUP_FILE=".env.backup.$(date +%Y%m%d_%H%M%S)"
-  echo "⚠️  Arquivo .env existente detectado!"
-  echo "📦 Criando backup em: $BACKUP_FILE"
-  cp .env "$BACKUP_FILE"
-  echo "✅ Backup criado com sucesso!"
-  echo ""
-  read -p "Deseja sobrescrever o .env atual com .env.example? (s/N) " -n 1 -r
-  echo
-  if [[ ! $REPLY =~ ^[Ss]$ ]]; then
-    echo "❌ Operação cancelada. Seu .env não foi modificado."
-    exit 0
-  fi
-fi
-
-# Copiar .env.example para .env
-if [ -f .env.example ]; then
-  cp .env.example .env
-  echo "✅ Arquivo .env criado a partir de .env.example"
-else
-  echo "❌ Erro: .env.example não encontrado!"
-  exit 1
-fi
-
-# Gerar BETTER_AUTH_SECRET automaticamente
-if command -v openssl &> /dev/null; then
-  SECRET=$(openssl rand -base64 32)
-  sed -i.bak "s|BETTER_AUTH_SECRET=.*|BETTER_AUTH_SECRET=$SECRET|" .env && rm -f .env.bak
-  echo "✅ BETTER_AUTH_SECRET gerado automaticamente"
-else
-  echo "⚠️  openssl não encontrado — configure BETTER_AUTH_SECRET manualmente:"
-  echo "   openssl rand -base64 32"
-fi
-
-echo ""
-echo "⚠️  IMPORTANTE: Edite o arquivo .env e configure:"
-echo "   - DATABASE_URL"
-echo "   - BETTER_AUTH_URL"
-echo "   - Demais variáveis opcionais (OAuth, e-mail, IA)"

src/app/(auth)/login/page.tsx

@@ -1,9 +1,19 @@
 import { LoginForm } from "@/features/auth/components/login-form";
+import { Logo } from "@/shared/components/logo";
 
 export default function LoginPage() {
 	return (
-		<div className="flex min-h-svh flex-col items-center justify-center bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
+		<div className="relative flex min-h-svh flex-col items-center justify-center overflow-hidden bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
-			<div className="w-full max-w-sm md:max-w-5xl">
+			<div className="pointer-events-none absolute inset-0">
+				<div className="absolute -right-32 -top-32 h-72 w-72 rounded-full bg-primary/10 blur-3xl" />
+				<div className="absolute -bottom-32 -left-32 h-72 w-72 rounded-full bg-primary/7 blur-3xl" />
+			</div>
+
+			<div className="relative mb-6 flex md:hidden">
+				<Logo variant="compact" colorIcon />
+			</div>
+
+			<div className="relative w-full max-w-sm md:max-w-5xl">
 				<LoginForm />
 			</div>
 		</div>

src/app/(auth)/signup/page.tsx

@@ -1,9 +1,19 @@
 import { SignupForm } from "@/features/auth/components/signup-form";
+import { Logo } from "@/shared/components/logo";
 
-export default function Page() {
+export default function SignupPage() {
 	return (
-		<div className="flex min-h-svh flex-col items-center justify-center bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
+		<div className="relative flex min-h-svh flex-col items-center justify-center overflow-hidden bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
-			<div className="w-full max-w-sm md:max-w-5xl">
+			<div className="pointer-events-none absolute inset-0">
+				<div className="absolute -right-32 -top-32 h-72 w-72 rounded-full bg-primary/10 blur-3xl" />
+				<div className="absolute -bottom-32 -left-32 h-72 w-72 rounded-full bg-primary/7 blur-3xl" />
+			</div>
+
+			<div className="relative mb-6 flex md:hidden">
+				<Logo variant="compact" colorIcon />
+			</div>
+
+			<div className="relative w-full max-w-sm md:max-w-5xl">
 				<SignupForm />
 			</div>
 		</div>

src/app/(dashboard)/accounts/[accountId]/statement/page.tsx

@@ -1,5 +1,6 @@
 import { RiPencilLine } from "@remixicon/react";
 import { notFound } from "next/navigation";
+import { connection } from "next/server";
 import { AccountDialog } from "@/features/accounts/components/account-dialog";
 import { AccountStatementCard } from "@/features/accounts/components/account-statement-card";
 import type { Account } from "@/features/accounts/components/types";
@@ -42,6 +43,7 @@ const capitalize = (value: string) =>
 	value.length > 0 ? value[0]?.toUpperCase().concat(value.slice(1)) : value;
 
 export default async function Page({ params, searchParams }: PageProps) {
+	await connection();
 	const { accountId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -190,6 +192,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 					allowCreate={false}
 					noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 					columnOrder={userPreferences?.transactionsColumnOrder ?? null}
+					attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 				/>
 			</section>
 		</main>

src/app/(dashboard)/accounts/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankLine />}
 				title="Contas"

src/app/(dashboard)/accounts/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { AccountsPage } from "@/features/accounts/components/accounts-page";
 import { fetchAllAccountsForUser } from "@/features/accounts/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const { activeAccounts, archivedAccounts, logoOptions } =
 		await fetchAllAccountsForUser(userId);

src/app/(dashboard)/attachments/layout.tsx

@@ -0,0 +1,26 @@
+import { RiAttachmentLine } from "@remixicon/react";
+import MonthNavigation from "@/shared/components/month-picker/month-navigation";
+import PageDescription from "@/shared/components/page-description";
+
+export const metadata = {
+	title: "Anexos",
+};
+
+export default function RootLayout({
+	children,
+}: {
+	children: React.ReactNode;
+}) {
+	return (
+		<section className="space-y-6">
+			<PageDescription
+				icon={<RiAttachmentLine />}
+				title="Anexos"
+				subtitle="Gerencie os anexos das suas transações"
+			/>
+			<MonthNavigation />
+
+			{children}
+		</section>
+	);
+}

src/app/(dashboard)/attachments/loading.tsx

@@ -0,0 +1,38 @@
+import { Skeleton } from "@/shared/components/ui/skeleton";
+
+export default function AnexosLoading() {
+	return (
+		<main className="flex flex-col gap-6">
+			<div className="w-full space-y-6">
+				{/* Header */}
+				<Skeleton className="h-10 w-40 rounded-md bg-foreground/10" />
+
+				{/* Month navigation */}
+				<Skeleton className="h-10 w-64 rounded-md bg-foreground/10" />
+
+				{/* Count */}
+				<Skeleton className="h-4 w-20 rounded-md bg-foreground/10" />
+
+				{/* Grid */}
+				<div className="grid grid-cols-2 gap-3 sm:grid-cols-3 lg:grid-cols-4 xl:grid-cols-5">
+					{Array.from({ length: 10 }).map((_, i) => (
+						<div
+							key={i}
+							className="flex flex-col overflow-hidden rounded-lg border"
+						>
+							<Skeleton className="aspect-square w-full bg-foreground/10" />
+							<div className="space-y-1.5 p-2.5">
+								<Skeleton className="h-3 w-3/4 rounded bg-foreground/10" />
+								<Skeleton className="h-3 w-full rounded bg-foreground/10" />
+								<div className="flex justify-between">
+									<Skeleton className="h-3 w-16 rounded bg-foreground/10" />
+									<Skeleton className="h-3 w-12 rounded bg-foreground/10" />
+								</div>
+							</div>
+						</div>
+					))}
+				</div>
+			</div>
+		</main>
+	);
+}

src/app/(dashboard)/attachments/page.tsx

@@ -0,0 +1,36 @@
+import { connection } from "next/server";
+import { AttachmentsPage } from "@/features/attachments/components/attachments-page";
+import { fetchAttachmentsForPeriod } from "@/features/attachments/queries";
+import { getUserId } from "@/shared/lib/auth/server";
+import { parsePeriodParam } from "@/shared/utils/period";
+
+type PageSearchParams = Promise<Record<string, string | string[] | undefined>>;
+
+type PageProps = {
+	searchParams?: PageSearchParams;
+};
+
+const getSingleParam = (
+	params: Record<string, string | string[] | undefined> | undefined,
+	key: string,
+) => {
+	const value = params?.[key];
+	if (!value) return null;
+	return Array.isArray(value) ? (value[0] ?? null) : value;
+};
+
+export default async function Page({ searchParams }: PageProps) {
+	await connection();
+	const userId = await getUserId();
+	const resolvedSearchParams = searchParams ? await searchParams : undefined;
+	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
+	const { period } = parsePeriodParam(periodoParam);
+
+	const attachments = await fetchAttachmentsForPeriod(userId, period);
+
+	return (
+		<main className="flex flex-col gap-6">
+			<AttachmentsPage attachments={attachments} />
+		</main>
+	);
+}

src/app/(dashboard)/budgets/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBarChart2Line />}
 				title="Orçamentos"

src/app/(dashboard)/budgets/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { BudgetsPage } from "@/features/budgets/components/budgets-page";
 import { fetchBudgetsForUser } from "@/features/budgets/queries";
 import MonthNavigation from "@/shared/components/month-picker/month-navigation";
@@ -23,6 +24,7 @@ const capitalize = (value: string) =>
 	value.length === 0 ? value : value[0]?.toUpperCase() + value.slice(1);
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");

src/app/(dashboard)/calendar/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiCalendarEventLine />}
 				title="Calendário"

src/app/(dashboard)/calendar/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { MonthlyCalendar } from "@/features/calendar/components/monthly-calendar";
 import { fetchCalendarData } from "@/features/calendar/queries";
 import {
@@ -16,6 +17,7 @@ type PageProps = {
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const userId = await getUserId();
 	const resolvedParams = searchParams ? await searchParams : undefined;
 

src/app/(dashboard)/cards/[cardId]/invoice/page.tsx

@@ -1,5 +1,6 @@
 import { RiPencilLine } from "@remixicon/react";
 import { notFound } from "next/navigation";
+import { connection } from "next/server";
 import type { FinancialAccount } from "@/db/schema";
 import { CardDialog } from "@/features/cards/components/card-dialog";
 import type { Card } from "@/features/cards/components/types";
@@ -39,6 +40,7 @@ type PageProps = {
 };
 
 export default async function Page({ params, searchParams }: PageProps) {
+	await connection();
 	const { cardId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -202,6 +204,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 					allowCreate
 					noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 					columnOrder={userPreferences?.transactionsColumnOrder ?? null}
+					attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 					defaultCardId={card.id}
 					defaultPaymentMethod="Cartão de crédito"
 					lockCardSelection

src/app/(dashboard)/cards/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankCard2Line />}
 				title="Cartões"

src/app/(dashboard)/cards/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { CardsPage } from "@/features/cards/components/cards-page";
 import { fetchAllCardsForUser } from "@/features/cards/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const { activeCards, archivedCards, accounts, logoOptions } =
 		await fetchAllCardsForUser(userId);

src/app/(dashboard)/categories/[categoryId]/page.tsx

@@ -1,4 +1,5 @@
 import { notFound } from "next/navigation";
+import { connection } from "next/server";
 import { CategoryDetailHeader } from "@/features/categories/components/category-detail-header";
 import { fetchCategoryDetails } from "@/features/dashboard/categories/category-details-queries";
 import { fetchUserPreferences } from "@/features/settings/queries";
@@ -32,6 +33,7 @@ const getSingleParam = (
 };
 
 export default async function Page({ params, searchParams }: PageProps) {
+	await connection();
 	const { categoryId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -99,6 +101,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 				allowCreate={true}
 				noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 				columnOrder={userPreferences?.transactionsColumnOrder ?? null}
+				attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 			/>
 		</main>
 	);

src/app/(dashboard)/categories/history/page.tsx

@@ -1,9 +1,11 @@
+import { connection } from "next/server";
 import { fetchCategoryHistory } from "@/features/dashboard/categories/category-history-queries";
 import { CategoryHistoryWidget } from "@/features/dashboard/components/category-history-widget";
 import { getUser } from "@/shared/lib/auth/server";
 import { getCurrentPeriod } from "@/shared/utils/period";
 
 export default async function HistoricoCategoriasPage() {
+	await connection();
 	const user = await getUser();
 	const currentPeriod = getCurrentPeriod();
 

src/app/(dashboard)/categories/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiPriceTag3Line />}
 				title="Categorias"

src/app/(dashboard)/categories/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { CategoriesPage } from "@/features/categories/components/categories-page";
 import { fetchCategoriesForUser } from "@/features/categories/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const categories = await fetchCategoriesForUser(userId);
 

src/app/(dashboard)/changelog/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiHistoryLine />}
 				title="Changelog"

src/app/(dashboard)/dashboard/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { DashboardGridEditable } from "@/features/dashboard/components/dashboard-grid-editable";
 import { DashboardMetricsCards } from "@/features/dashboard/components/dashboard-metrics-cards";
 import { DashboardWelcome } from "@/features/dashboard/components/dashboard-welcome";
@@ -14,6 +15,7 @@ type PageProps = {
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");

src/app/(dashboard)/inbox/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiAtLine />}
 				title="Pré-Lançamentos"

src/app/(dashboard)/inbox/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { InboxPage } from "@/features/inbox/components/inbox-page";
 import {
 	type ResolvedInboxSearchParams,
@@ -31,6 +32,7 @@ const EMPTY_DIALOG_DATA = {
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const activeStatus = resolveInboxStatus(resolvedSearchParams);

src/app/(dashboard)/insights/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSparklingLine />}
 				title="Insights"

src/app/(dashboard)/insights/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { InsightsPage } from "@/features/insights/components/insights-page";
 import MonthNavigation from "@/shared/components/month-picker/month-navigation";
 import { parsePeriodParam } from "@/shared/utils/period";
@@ -18,6 +19,7 @@ const getSingleParam = (
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
 	const { period: selectedPeriod } = parsePeriodParam(periodoParam);

src/app/(dashboard)/layout.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { fetchDashboardNavbarData } from "@/features/dashboard/navbar-queries";
 import { AppNavbar } from "@/shared/components/navigation/navbar/app-navbar";
 import { PrivacyProvider } from "@/shared/components/providers/privacy-provider";
@@ -9,6 +10,7 @@ export default async function DashboardLayout({
 }: Readonly<{
 	children: React.ReactNode;
 }>) {
+	await connection();
 	const session = await getUserSession();
 	const navbarData = await fetchDashboardNavbarData(session.user.id);
 

src/app/(dashboard)/notes/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiTodoLine />}
 				title="Anotações"

src/app/(dashboard)/notes/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { NotesPage } from "@/features/notes/components/notes-page";
 import { fetchAllNotesForUser } from "@/features/notes/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const { activeNotes, archivedNotes } = await fetchAllNotesForUser(userId);
 

src/app/(dashboard)/payers/[payerId]/page.tsx

@@ -4,6 +4,7 @@ import {
 	RiWallet3Line,
 } from "@remixicon/react";
 import { notFound } from "next/navigation";
+import { connection } from "next/server";
 import { PayerCardUsageCard } from "@/features/payers/components/details/payer-card-usage-card";
 import { PayerHeaderCard } from "@/features/payers/components/details/payer-header-card";
 import { PayerHistoryCard } from "@/features/payers/components/details/payer-history-card";
@@ -79,6 +80,8 @@ const EMPTY_FILTERS: TransactionSearchFilters = {
 	categoryFilter: null,
 	accountCardFilter: null,
 	searchFilter: null,
+	settledFilter: null,
+	attachmentFilter: null,
 };
 
 const createEmptySlugMaps = (): SlugMaps => ({
@@ -91,6 +94,7 @@ const createEmptySlugMaps = (): SlugMaps => ({
 type OptionSet = ReturnType<typeof buildOptionSets>;
 
 export default async function Page({ params, searchParams }: PageProps) {
+	await connection();
 	const { payerId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -390,6 +394,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 							allowCreate={canEdit}
 							noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 							columnOrder={userPreferences?.transactionsColumnOrder ?? null}
+							attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 							importPayerOptions={loggedUserOptionSets?.payerOptions}
 							importSplitPayerOptions={loggedUserOptionSets?.splitPayerOptions}
 							importDefaultPayerId={loggedUserOptionSets?.defaultPayerId}

src/app/(dashboard)/payers/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiGroupLine />}
 				title="Pagadores"

src/app/(dashboard)/payers/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { PayersPage } from "@/features/payers/components/payers-page";
 import { fetchPayersForUser } from "@/features/payers/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const { payers, avatarOptions } = await fetchPayersForUser(userId);
 

src/app/(dashboard)/reports/card-usage/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankCard2Line />}
 				title="Uso de Cartões"

src/app/(dashboard)/reports/card-usage/page.tsx

@@ -1,4 +1,5 @@
 import { RiBankCard2Line } from "@remixicon/react";
+import { connection } from "next/server";
 import { fetchCartoesReportData } from "@/features/reports/cards-report-queries";
 import { CardCategoryBreakdown } from "@/features/reports/components/cards/card-category-breakdown";
 import { CardInvoiceStatus } from "@/features/reports/components/cards/card-invoice-status";
@@ -28,6 +29,7 @@ const getSingleParam = (
 export default async function RelatorioCartoesPage({
 	searchParams,
 }: PageProps) {
+	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
@@ -69,7 +71,7 @@ export default async function RelatorioCartoesPage({
 					<div className="flex size-14 items-center justify-center rounded-full bg-muted mb-4">
 						<RiBankCard2Line className="size-7 text-muted-foreground" />
 					</div>
-					<p className="text-base font-medium">Nenhum cartão selecionado</p>
+					<p className="text-base font-semibold">Nenhum cartão selecionado</p>
 					<p className="text-sm text-muted-foreground mt-1">
 						Selecione um cartão para ver os detalhes de uso.
 					</p>

src/app/(dashboard)/reports/category-trends/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiFileChartLine />}
 				title="Tendências"

src/app/(dashboard)/reports/category-trends/page.tsx

@@ -1,4 +1,5 @@
 import { redirect } from "next/navigation";
+import { connection } from "next/server";
 import type { Category } from "@/db/schema";
 import { fetchCategoryChartData } from "@/features/reports/category-chart-queries";
 import { fetchCategoryReport } from "@/features/reports/category-report-queries";
@@ -29,6 +30,7 @@ const getSingleParam = (
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	// Get authenticated user
 	const userId = await getUserId();
 

src/app/(dashboard)/reports/establishments/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiStore2Line />}
 				title="Top Estabelecimentos"

src/app/(dashboard)/reports/establishments/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { EstablishmentsList } from "@/features/reports/components/establishments/establishments-list";
 import { HighlightsCards } from "@/features/reports/components/establishments/highlights-cards";
 import { PeriodFilterButtons } from "@/features/reports/components/establishments/period-filter";
@@ -36,6 +37,7 @@ const validatePeriodFilter = (value: string | null): PeriodFilter => {
 export default async function TopEstabelecimentosPage({
 	searchParams,
 }: PageProps) {
+	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");

src/app/(dashboard)/reports/installment-analysis/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSecurePaymentLine />}
 				title="Análise de Parcelas"

src/app/(dashboard)/reports/installment-analysis/page.tsx

@@ -1,8 +1,10 @@
+import { connection } from "next/server";
 import { InstallmentAnalysisPage } from "@/features/dashboard/components/installment-analysis/installment-analysis-page";
 import { fetchInstallmentAnalysis } from "@/features/dashboard/expenses/installment-analysis-queries";
 import { getUser } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const user = await getUser();
 	const data = await fetchInstallmentAnalysis(user.id);
 

src/app/(dashboard)/settings/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSettings2Line />}
 				title="Ajustes"

src/app/(dashboard)/settings/page.tsx

@@ -1,6 +1,7 @@
-import { RiArrowRightSLine } from "@remixicon/react";
+import { RiAndroidLine, RiArrowRightSLine } from "@remixicon/react";
 import { headers } from "next/headers";
 import { redirect } from "next/navigation";
+import { connection } from "next/server";
 
 import { CompanionTab } from "@/features/settings/components/companion-tab";
 import { DeleteAccountForm } from "@/features/settings/components/delete-account-form";
@@ -11,6 +12,7 @@ import { UpdateNameForm } from "@/features/settings/components/update-name-form"
 import { UpdatePasswordForm } from "@/features/settings/components/update-password-form";
 import { fetchSettingsPageData } from "@/features/settings/queries";
 import { Card } from "@/shared/components/ui/card";
+import { Separator } from "@/shared/components/ui/separator";
 import {
 	Tabs,
 	TabsContent,
@@ -20,6 +22,7 @@ import {
 import { auth } from "@/shared/lib/auth/config";
 
 export default async function Page() {
+	await connection();
 	const session = await auth.api.getSession({
 		headers: await headers(),
 	});
@@ -64,12 +67,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Preferências</h2>
+								<h2 className="text-xl font-semibold mb-1">Preferências</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Personalize sua experiência no OpenMonetis ajustando as
 									configurações de acordo com suas necessidades.
 								</p>
 							</div>
+							<Separator />
 							<PreferencesForm
 								statementNoteAsColumn={
 									userPreferences?.statementNoteAsColumn ?? false
@@ -77,25 +81,48 @@ export default async function Page() {
 								transactionsColumnOrder={
 									userPreferences?.transactionsColumnOrder ?? null
 								}
+								attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 							/>
 						</div>
 					</Card>
 				</TabsContent>
 
 				<TabsContent value="companion" className="mt-4">
-					<CompanionTab tokens={userApiTokens} />
+					<Card className="p-6">
+						<div className="space-y-4">
+							<div>
+								<div className="flex items-center gap-2 mb-1">
+									<h2 className="text-xl font-semibold">
+										OpenMonetis Companion
+									</h2>
+									<span className="inline-flex items-center gap-1 rounded-full bg-success/10 px-2 py-0.5 text-xs font-medium text-success dark:bg-success/10">
+										<RiAndroidLine className="h-3 w-3" />
+										Android
+									</span>
+								</div>
+								<p className="text-sm text-muted-foreground">
+									Capture notificações de transações dos seus apps de banco
+									(Nubank, Itaú, Bradesco, Inter, C6 e outros) e envie para sua
+									caixa de entrada.
+								</p>
+							</div>
+							<Separator />
+							<CompanionTab tokens={userApiTokens} />
+						</div>
+					</Card>
 				</TabsContent>
 
 				<TabsContent value="nome" className="mt-4">
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar nome</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar nome</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Atualize como seu nome aparece no OpenMonetis. Esse nome pode
 									ser exibido em diferentes seções do app e em comunicações.
 								</p>
 							</div>
+							<Separator />
 							<UpdateNameForm currentName={userName} />
 						</div>
 					</Card>
@@ -105,12 +132,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar senha</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar senha</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Defina uma nova senha para sua conta. Guarde-a em local
 									seguro.
 								</p>
 							</div>
+							<Separator />
 							<UpdatePasswordForm authProvider={authProvider} />
 						</div>
 					</Card>
@@ -120,12 +148,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Passkeys</h2>
+								<h2 className="text-xl font-semibold mb-1">Passkeys</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Passkeys permitem login sem senha, usando biometria (Face ID,
 									Touch ID, Windows Hello) ou chaves de segurança.
 								</p>
 							</div>
+							<Separator />
 							<PasskeysForm />
 						</div>
 					</Card>
@@ -135,13 +164,14 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar e-mail</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar e-mail</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Atualize o e-mail associado à sua conta. Você precisará
 									confirmar os links enviados para o novo e também para o e-mail
 									atual (quando aplicável) para concluir a alteração.
 								</p>
 							</div>
+							<Separator />
 							<UpdateEmailForm
 								currentEmail={userEmail}
 								authProvider={authProvider}
@@ -154,14 +184,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1 text-destructive">
+								<h2 className="text-xl font-semibold mb-1">Ações perigosas</h2>
-									Ações perigosas
+								<p className="text-sm text-muted-foreground">
-								</h2>
-								<p className="text-sm text-muted-foreground mb-4">
 									Você pode zerar os dados do OpenMonetis e manter seu acesso,
 									ou excluir sua conta inteira de forma irreversível.
 								</p>
 							</div>
+							<Separator />
 							<DeleteAccountForm />
 						</div>
 					</Card>

src/app/(dashboard)/transactions/import/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { ImportPage } from "@/features/transactions/components/import/import-page";
 import {
 	buildOptionSets,
@@ -7,6 +8,7 @@ import { fetchTransactionFilterSources } from "@/features/transactions/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 
 export default async function Page() {
+	await connection();
 	const userId = await getUserId();
 	const filterSources = await fetchTransactionFilterSources(userId);
 	const sluggedFilters = buildSluggedFilters(filterSources);

src/app/(dashboard)/transactions/layout.tsx

@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiArrowLeftRightLine />}
 				title="Lançamentos"

src/app/(dashboard)/transactions/page.tsx

@@ -1,3 +1,4 @@
+import { connection } from "next/server";
 import { fetchUserPreferences } from "@/features/settings/queries";
 import { TransactionsPage } from "@/features/transactions/components/page/transactions-page";
 import {
@@ -27,6 +28,7 @@ type PageProps = {
 };
 
 export default async function Page({ searchParams }: PageProps) {
+	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 
@@ -102,6 +104,7 @@ export default async function Page({ searchParams }: PageProps) {
 				}}
 				noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 				columnOrder={userPreferences?.transactionsColumnOrder ?? null}
+				attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 			/>
 		</main>
 	);

src/app/(landing-page)/page.tsx

@@ -120,13 +120,13 @@ export default async function Page() {
 				</div>
 
 				<div className="max-w-8xl mx-auto px-4 relative">
-					<div className="mx-auto flex max-w-3xl flex-col items-center text-center gap-5 md:gap-6 pb-10 md:pb-14">
+					<div className="mx-auto flex max-w-4xl flex-col items-center text-center gap-5 md:gap-6 pb-10 md:pb-14">
 						<Badge variant="outline">
 							<RiGithubFill className="size-4 mr-1" />
 							Projeto Open Source
 						</Badge>
 
-						<h1 className="text-3xl sm:text-4xl md:text-5xl lg:text-6xl font-bold tracking-tight">
+						<h1 className="text-3xl sm:text-4xl md:text-5xl lg:text-6xl font-semibold">
 							Suas finanças,
 							<span className="text-primary"> do seu jeito</span>
 						</h1>
@@ -207,7 +207,7 @@ export default async function Page() {
 									className="flex flex-col items-center text-center gap-1.5"
 								>
 									<Icon className="size-5" style={{ color: colorVar }} />
-									<span className="text-2xl md:text-3xl font-bold">
+									<span className="text-2xl md:text-3xl font-semibold">
 										{value}
 									</span>
 									<span className="text-xs md:text-sm text-muted-foreground">
@@ -229,7 +229,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Conheça as telas
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Veja o que você pode fazer
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -254,7 +254,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									O que tem aqui
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Funcionalidades que importam
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -298,7 +298,7 @@ export default async function Page() {
 
 						<AnimateOnScroll>
 							<div className="mt-8 md:mt-12">
-								<h3 className="text-sm font-medium text-center mb-4 md:mb-6 text-muted-foreground">
+								<h3 className="text-sm font-semibold text-center mb-4 md:mb-6 text-muted-foreground">
 									Também inclui
 								</h3>
 								<div className="grid gap-3 sm:grid-cols-2 lg:grid-cols-3">
@@ -319,7 +319,7 @@ export default async function Page() {
 												/>
 											</div>
 											<div className="min-w-0">
-												<h4 className="font-medium text-sm mb-0.5">
+												<h4 className="font-semibold text-sm mb-0.5">
 													{feature.title}
 												</h4>
 												<p className="text-xs text-muted-foreground leading-relaxed">
@@ -346,7 +346,7 @@ export default async function Page() {
 									<RiSmartphoneLine className="size-3.5 mr-1" />
 									Mobile
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Use o OpenMonetis no celular sem perder o fluxo
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -384,7 +384,7 @@ export default async function Page() {
 										<RiSmartphoneLine className="size-3.5 mr-1" />
 										PWA instalável
 									</Badge>
-									<h3 className="text-2xl md:text-3xl font-bold tracking-tight mb-3">
+									<h3 className="text-2xl md:text-3xl font-medium tracking-tight mb-3">
 										Leve o OpenMonetis para a tela inicial
 									</h3>
 									<p className="text-muted-foreground mb-6 leading-relaxed">
@@ -430,7 +430,7 @@ export default async function Page() {
 											Companion Android
 										</Badge>
 									</div>
-									<h3 className="text-2xl md:text-3xl font-bold tracking-tight mb-3">
+									<h3 className="text-2xl md:text-3xl font-medium tracking-tight mb-3">
 										Capture, envie e revise no mesmo fluxo
 									</h3>
 									<p className="text-muted-foreground mb-6 leading-relaxed">
@@ -441,7 +441,7 @@ export default async function Page() {
 										{companionSteps.map((step, index) => (
 											<li key={step.title} className="flex items-start gap-3">
 												<span
-													className="mt-0.5 flex h-7 w-7 shrink-0 items-center justify-center rounded-full text-xs font-bold"
+													className="mt-0.5 flex h-7 w-7 shrink-0 items-center justify-center rounded-full text-xs font-medium"
 													style={{
 														backgroundColor: `color-mix(in oklch, ${step.colorVar} 14%, transparent)`,
 														color: step.colorVar,
@@ -529,7 +529,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Stack técnica
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									O que roda por baixo
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -582,7 +582,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Como usar
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Rode no seu computador
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground px-4 sm:px-0">
@@ -617,7 +617,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Para quem é?
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Feito para quem gosta de controle
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground px-4 sm:px-0">
@@ -664,7 +664,7 @@ export default async function Page() {
 				<div className="max-w-8xl mx-auto px-4">
 					<AnimateOnScroll>
 						<div className="mx-auto max-w-4xl rounded-2xl border bg-card px-8 py-12 md:py-16 text-center">
-							<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+							<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 								Pronto para testar?
 							</h2>
 							<p className="text-base md:text-lg text-muted-foreground mb-6 md:mb-8">

src/app/api/attachments/[attachmentId]/presign/route.ts

@@ -0,0 +1,54 @@
+import { and, eq } from "drizzle-orm";
+import { NextResponse } from "next/server";
+import { attachments } from "@/db/schema";
+import { getOptionalUserSession } from "@/shared/lib/auth/server";
+import { db } from "@/shared/lib/db";
+import { createPresignedGetUrl } from "@/shared/lib/storage/presign";
+
+const PRIVATE_RESPONSE_HEADERS = {
+	"Cache-Control": "private, no-store",
+};
+
+export async function GET(
+	_request: Request,
+	{ params }: { params: Promise<{ attachmentId: string }> },
+) {
+	const [session, { attachmentId }] = await Promise.all([
+		getOptionalUserSession(),
+		params,
+	]);
+
+	if (!session?.user) {
+		return NextResponse.json(
+			{ error: "Não autenticado" },
+			{ status: 401, headers: PRIVATE_RESPONSE_HEADERS },
+		);
+	}
+
+	const userId = session.user.id;
+
+	const [row] = await db
+		.select({ fileKey: attachments.fileKey })
+		.from(attachments)
+		.where(
+			and(eq(attachments.id, attachmentId), eq(attachments.userId, userId)),
+		);
+
+	if (!row) {
+		return NextResponse.json(
+			{ error: "Not found" },
+			{
+				status: 404,
+				headers: PRIVATE_RESPONSE_HEADERS,
+			},
+		);
+	}
+
+	const url = await createPresignedGetUrl(row.fileKey);
+	return NextResponse.json(
+		{ url },
+		{
+			headers: PRIVATE_RESPONSE_HEADERS,
+		},
+	);
+}

src/app/api/auth/device/refresh/route.ts

@@ -1,87 +0,0 @@
-import { and, eq, gt, isNull } from "drizzle-orm";
-import { NextResponse } from "next/server";
-import { apiTokens } from "@/db/schema";
-import {
-	extractBearerToken,
-	hashToken,
-	refreshAccessToken,
-	verifyJwt,
-} from "@/shared/lib/auth/api-token";
-import { db } from "@/shared/lib/db";
-
-export async function POST(request: Request) {
-	try {
-		// Extrair refresh token do header
-		const authHeader = request.headers.get("Authorization");
-		const token = extractBearerToken(authHeader);
-
-		if (!token) {
-			return NextResponse.json(
-				{ error: "Refresh token não fornecido" },
-				{ status: 401 },
-			);
-		}
-
-		// Validar refresh token
-		const payload = verifyJwt(token);
-
-		if (!payload || payload.type !== "api_refresh") {
-			return NextResponse.json(
-				{ error: "Refresh token inválido ou expirado" },
-				{ status: 401 },
-			);
-		}
-
-		// Verificar se token não foi revogado
-		const tokenRecord = await db.query.apiTokens.findFirst({
-			where: and(
-				eq(apiTokens.id, payload.tokenId),
-				eq(apiTokens.userId, payload.sub),
-				isNull(apiTokens.revokedAt),
-				gt(apiTokens.expiresAt, new Date()),
-			),
-		});
-
-		if (!tokenRecord) {
-			return NextResponse.json(
-				{ error: "Token revogado ou não encontrado" },
-				{ status: 401 },
-			);
-		}
-
-		// Gerar novo access token
-		const result = refreshAccessToken(token);
-
-		if (!result) {
-			return NextResponse.json(
-				{ error: "Não foi possível renovar o token" },
-				{ status: 401 },
-			);
-		}
-
-		// Atualizar hash do token e último uso
-		await db
-			.update(apiTokens)
-			.set({
-				tokenHash: hashToken(result.accessToken),
-				lastUsedAt: new Date(),
-				lastUsedIp:
-					request.headers.get("x-forwarded-for")?.split(",")[0]?.trim() ||
-					request.headers.get("x-real-ip") ||
-					null,
-				expiresAt: result.expiresAt,
-			})
-			.where(eq(apiTokens.id, payload.tokenId));
-
-		return NextResponse.json({
-			accessToken: result.accessToken,
-			expiresAt: result.expiresAt.toISOString(),
-		});
-	} catch (error) {
-		console.error("[API] Error refreshing device token:", error);
-		return NextResponse.json(
-			{ error: "Erro ao renovar token" },
-			{ status: 500 },
-		);
-	}
-}

src/app/api/auth/device/token/route.ts

@@ -1,71 +0,0 @@
-import { headers } from "next/headers";
-import { NextResponse } from "next/server";
-import { z } from "zod";
-import { apiTokens } from "@/db/schema";
-import {
-	generateTokenPair,
-	getTokenPrefix,
-	hashToken,
-} from "@/shared/lib/auth/api-token";
-import { auth } from "@/shared/lib/auth/config";
-import { db } from "@/shared/lib/db";
-
-const createTokenSchema = z.object({
-	name: z.string().min(1, "Nome é obrigatório").max(100, "Nome muito longo"),
-	deviceId: z.string().optional(),
-});
-
-export async function POST(request: Request) {
-	try {
-		// Verificar autenticação via sessão web
-		const session = await auth.api.getSession({ headers: await headers() });
-
-		if (!session?.user) {
-			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
-		}
-
-		// Validar body
-		const body = await request.json();
-		const { name, deviceId } = createTokenSchema.parse(body);
-
-		// Gerar par de tokens
-		const { accessToken, refreshToken, tokenId, expiresAt } = generateTokenPair(
-			session.user.id,
-			deviceId,
-		);
-
-		// Salvar hash do token no banco
-		await db.insert(apiTokens).values({
-			id: tokenId,
-			userId: session.user.id,
-			name,
-			tokenHash: hashToken(accessToken),
-			tokenPrefix: getTokenPrefix(accessToken),
-			expiresAt,
-		});
-
-		// Retornar tokens (mostrados apenas uma vez)
-		return NextResponse.json(
-			{
-				accessToken,
-				refreshToken,
-				tokenId,
-				name,
-				expiresAt: expiresAt.toISOString(),
-				message:
-					"Token criado com sucesso. Guarde-o em local seguro, ele não será mostrado novamente.",
-			},
-			{ status: 201 },
-		);
-	} catch (error) {
-		if (error instanceof z.ZodError) {
-			return NextResponse.json(
-				{ error: error.issues[0]?.message ?? "Dados inválidos" },
-				{ status: 400 },
-			);
-		}
-
-		console.error("[API] Error creating device token:", error);
-		return NextResponse.json({ error: "Erro ao criar token" }, { status: 500 });
-	}
-}

src/app/api/auth/device/tokens/[tokenId]/route.ts

@@ -1,6 +1,6 @@
 import { and, eq } from "drizzle-orm";
 import { headers } from "next/headers";
-import { NextResponse } from "next/server";
+import { connection, NextResponse } from "next/server";
 import { apiTokens } from "@/db/schema";
 import { auth } from "@/shared/lib/auth/config";
 import { db } from "@/shared/lib/db";
@@ -10,16 +10,19 @@ interface RouteParams {
 }
 
 export async function DELETE(_request: Request, { params }: RouteParams) {
+	await connection();
+
+	const { tokenId } = await params;
+
+	// Verificar autenticação via sessão web
+	const requestHeaders = new Headers(await headers());
+	const session = await auth.api.getSession({ headers: requestHeaders });
+
+	if (!session?.user) {
+		return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
+	}
+
 	try {
-		const { tokenId } = await params;
-
-		// Verificar autenticação via sessão web
-		const session = await auth.api.getSession({ headers: await headers() });
-
-		if (!session?.user) {
-			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
-		}
-
 		// Verificar se token pertence ao usuário
 		const token = await db.query.apiTokens.findFirst({
 			where: and(

src/app/api/auth/device/tokens/route.ts

@@ -1,19 +1,22 @@
 import { and, desc, eq, isNull } from "drizzle-orm";
 import { headers } from "next/headers";
-import { NextResponse } from "next/server";
+import { connection, NextResponse } from "next/server";
 import { apiTokens } from "@/db/schema";
 import { auth } from "@/shared/lib/auth/config";
 import { db } from "@/shared/lib/db";
 
 export async function GET() {
+	await connection();
+
+	// Verificar autenticação via sessão web
+	const requestHeaders = new Headers(await headers());
+	const session = await auth.api.getSession({ headers: requestHeaders });
+
+	if (!session?.user) {
+		return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
+	}
+
 	try {
-		// Verificar autenticação via sessão web
-		const session = await auth.api.getSession({ headers: await headers() });
-
-		if (!session?.user) {
-			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
-		}
-
 		// Buscar tokens ativos do usuário
 		const activeTokens = await db
 			.select({

src/app/api/auth/device/verify/route.ts

@@ -17,15 +17,14 @@ export async function POST(request: Request) {
 			);
 		}
 
-		// Validar token os_xxx via hash lookup
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ valid: false, error: "Formato de token inválido" },
 				{ status: 401 },
 			);
 		}
 
-		// Hash do token para buscar no DB
 		const tokenHash = hashToken(token);
 
 		// Buscar token no banco

src/app/api/health/route.ts

@@ -1,5 +1,4 @@
 import { NextResponse } from "next/server";
-import { version as APP_VERSION } from "@/package.json";
 import { db } from "@/shared/lib/db";
 
 /**
@@ -20,7 +19,6 @@ export async function GET() {
 			{
 				status: "ok",
 				name: "OpenMonetis",
-				version: APP_VERSION,
 				timestamp: new Date().toISOString(),
 			},
 			{ status: 200 },
@@ -33,7 +31,6 @@ export async function GET() {
 			{
 				status: "error",
 				name: "OpenMonetis",
-				version: APP_VERSION,
 				timestamp: new Date().toISOString(),
 				message: "Database connection failed",
 			},

src/app/api/inbox/batch/route.ts

@@ -1,4 +1,4 @@
-import { and, eq, gt, isNull, or } from "drizzle-orm";
+import { and, eq, gt, isNull } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { z } from "zod";
 import { apiTokens, inboxItems } from "@/db/schema";
@@ -48,8 +48,8 @@ export async function POST(request: Request) {
 			);
 		}
 
-		// Validar token os_xxx via hash
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ error: "Formato de token inválido" },
 				{ status: 401 },
@@ -63,7 +63,7 @@ export async function POST(request: Request) {
 			where: and(
 				eq(apiTokens.tokenHash, tokenHash),
 				isNull(apiTokens.revokedAt),
-				or(isNull(apiTokens.expiresAt), gt(apiTokens.expiresAt, new Date())),
+				gt(apiTokens.expiresAt, new Date()),
 			),
 		});
 

src/app/api/inbox/route.ts

@@ -1,4 +1,4 @@
-import { and, eq, gt, isNull, or } from "drizzle-orm";
+import { and, eq, gt, isNull } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { z } from "zod";
 import { apiTokens, inboxItems } from "@/db/schema";
@@ -41,8 +41,8 @@ export async function POST(request: Request) {
 			);
 		}
 
-		// Validar token os_xxx via hash
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ error: "Formato de token inválido" },
 				{ status: 401 },
@@ -56,7 +56,7 @@ export async function POST(request: Request) {
 			where: and(
 				eq(apiTokens.tokenHash, tokenHash),
 				isNull(apiTokens.revokedAt),
-				or(isNull(apiTokens.expiresAt), gt(apiTokens.expiresAt, new Date())),
+				gt(apiTokens.expiresAt, new Date()),
 			),
 		});
 

src/app/api/insights/saved/route.ts

@@ -0,0 +1,44 @@
+import { NextResponse } from "next/server";
+import {
+	fetchSavedInsights,
+	savedInsightsPeriodSchema,
+} from "@/features/insights/queries";
+import { getOptionalUserSession } from "@/shared/lib/auth/server";
+
+const PRIVATE_RESPONSE_HEADERS = {
+	"Cache-Control": "private, no-store",
+};
+
+export async function GET(request: Request) {
+	const period = new URL(request.url).searchParams.get("period") ?? "";
+	const validatedPeriod = savedInsightsPeriodSchema.safeParse(period);
+
+	if (!validatedPeriod.success) {
+		return NextResponse.json(
+			{
+				error: validatedPeriod.error.issues[0]?.message ?? "Período inválido.",
+			},
+			{
+				status: 400,
+				headers: PRIVATE_RESPONSE_HEADERS,
+			},
+		);
+	}
+
+	const session = await getOptionalUserSession();
+	if (!session?.user) {
+		return NextResponse.json(
+			{ error: "Não autenticado" },
+			{ status: 401, headers: PRIVATE_RESPONSE_HEADERS },
+		);
+	}
+
+	const insights = await fetchSavedInsights(
+		session.user.id,
+		validatedPeriod.data,
+	);
+
+	return NextResponse.json(insights, {
+		headers: PRIVATE_RESPONSE_HEADERS,
+	});
+}

src/app/api/transactions/[transactionId]/attachments/route.ts

@@ -0,0 +1,31 @@
+import { NextResponse } from "next/server";
+import { fetchTransactionAttachments } from "@/features/transactions/attachment-queries";
+import { getOptionalUserSession } from "@/shared/lib/auth/server";
+
+const PRIVATE_RESPONSE_HEADERS = {
+	"Cache-Control": "private, no-store",
+};
+
+export async function GET(
+	_request: Request,
+	{ params }: { params: Promise<{ transactionId: string }> },
+) {
+	const [session, { transactionId }] = await Promise.all([
+		getOptionalUserSession(),
+		params,
+	]);
+
+	if (!session?.user) {
+		return NextResponse.json(
+			{ error: "Não autenticado" },
+			{ status: 401, headers: PRIVATE_RESPONSE_HEADERS },
+		);
+	}
+
+	const userId = session.user.id;
+	const attachments = await fetchTransactionAttachments(userId, transactionId);
+
+	return NextResponse.json(attachments, {
+		headers: PRIVATE_RESPONSE_HEADERS,
+	});
+}