๐ก๏ธ Introducao: Seguranca, Billing e Operacao
Visao geral dos fundamentos de seguranca, billing e operacao. Panorama dos 6 temas que serao aprofundados nos modulos seguintes.
Protecao de prompts contra injection attacks e gerenciamento seguro de API keys em producao.
API keys expostas custam milhares em minutos. Prompt injection e o ataque #1 contra apps com IA.
Prompt injection, env vars, secrets management, key rotation, vault services.
Sistemas de autenticacao (quem e voce) e autorizacao (o que pode fazer) para apps SaaS.
Sem auth, qualquer pessoa acessa dados de qualquer usuario. E o basico de seguranca.
JWT, OAuth, session tokens, RBAC, middleware de auth, Supabase Auth.
Infraestrutura de logs, metricas e traces para entender o que acontece em producao.
Sem observabilidade, problemas em producao sao invisiveis ate o usuario reclamar.
Structured logging, metricas de IA (tokens, latencia, custo), alertas, Sentry, Datadog.
Integracao de pagamentos, modelos de monetizacao e gestao de planos para SaaS.
Sem billing, seu SaaS e um projeto open source. Monetizacao transforma hobby em negocio.
Stripe, webhooks, subscription lifecycle, usage-based billing, freemium.
Landing page otimizada para conversao, SEO basico e analytics para medir resultados.
O melhor produto do mundo nao vende sem uma landing page que converte.
Copywriting SaaS, hero section, CTA, SEO on-page, Google Analytics, A/B testing.
Exercicio pratico: deploy final do SaaS com checklist completo, CI/CD e dominio proprio.
O deploy final e o momento da verdade. Tudo que foi construido nas 6 trilhas culmina aqui.
Deploy checklist, CI/CD pipeline, dominio, DNS, SSL, monitoramento pos-deploy.
๐ Seguranca de Prompts e API Keys
Prompt injection, defesa em profundidade, OWASP LLM Top 10, protecao de keys e rate limiting.
Ataque onde o usuario manipula o prompt do sistema para alterar o comportamento da IA. Direto e indireto.
E o vetor de ataque mais comum em apps com LLM. Pode expor dados, system prompts e logica de negocio.
Direct injection, indirect injection, jailbreaking, prompt leaking, data exfiltration.
Multiplas camadas de protecao: input sanitization, output filtering, guardrails, sandboxing.
Nenhuma defesa isolada e suficiente. Camadas sobrepostas reduzem o risco exponencialmente.
Defense in depth, input validation, output guardrails, content filtering, least privilege.
As 10 vulnerabilidades mais criticas em aplicacoes com LLM segundo a OWASP.
Framework padrao da industria. Conhecer as 10 categorias cobre 90% dos vetores de ataque.
LLM01-LLM10, prompt injection, insecure output, training data poisoning, model DoS.
Gerenciamento seguro de secrets: env vars, vaults, rotacao, scoping e monitoramento de uso.
Keys hardcoded no codigo ou commitadas no git sao a causa #1 de billing surpresa.
.env, .gitignore, secrets manager, key rotation, scoped permissions, billing alerts.
Limitar requisicoes por usuario/IP para prevenir abuso, DDoS e custo descontrolado de API.
Um bot pode consumir $10k em API calls em horas sem rate limiting.
Token bucket, sliding window, per-user limits, IP blocking, retry-after headers.
Audit de seguranca do seu SaaS: testar prompt injection, verificar keys, configurar rate limits.
Audit antes do deploy previne incidentes. Melhor encontrar falhas voce do que um atacante.
Checklist de seguranca, testes de injection, verificacao de secrets, rate limit testing.
๐ Autenticacao e Autorizacao
Auth vs AuthZ, JWT, RBAC, rotas protegidas e middleware de seguranca.
Autenticacao (quem e voce) vs Autorizacao (o que pode fazer). Dois conceitos distintos mas complementares.
Confundir auth com authz e erro comum que resulta em escalacao de privilegio.
Authentication, Authorization, identity vs permissions, exemplos do dia a dia.
JSON Web Tokens: header, payload, signature. Access tokens, refresh tokens, expiracao.
JWT e o padrao de fato para auth em APIs modernas. Entender a estrutura previne vulnerabilidades.
JWT structure, signing algorithms, access vs refresh, token storage, expiration.
Controle de acesso baseado em roles: admin, editor, viewer. Permissoes por grupo, nao por usuario.
RBAC escala. Permissoes individuais nao. Todo SaaS multi-tenant precisa de RBAC.
Roles, permissions, role hierarchy, Supabase RLS, policy-based access.
Proteger endpoints de API e paginas que requerem autenticacao. Redirect para login quando necessario.
Endpoints desprotegidos sao portas abertas. Um unico endpoint esquecido compromete tudo.
Route guards, protected routes, auth redirects, API middleware, Next.js middleware.
Camada intermediaria que intercepta requests para validar auth, sanitizar input e aplicar policies.
Middleware centraliza seguranca. Sem ele, cada endpoint reimplementa validacao (e esquece).
Express middleware, Next.js middleware, CORS, helmet, CSRF protection, input sanitization.
Implementar RBAC completo: criar roles, proteger rotas, testar escalacao de privilegio.
RBAC funcional e pre-requisito para qualquer SaaS com mais de um tipo de usuario.
Role setup, permission matrix, Supabase RLS policies, teste de acesso, admin panel.
๐ Logs, Observabilidade e Monitoramento
O que logar, structured logging, metricas de IA, alertas e debugging em sistemas com IA.
Quais eventos logar: requests, responses, erros, tokens usados, latencia, custo por chamada.
Logs demais e ruido. Logs de menos e cegueira. O equilibrio e uma skill essencial.
Log levels, o que logar vs o que nao logar, PII concerns, retention policy.
Logs em formato JSON com campos padronizados: timestamp, level, message, context, request_id.
Logs estruturados sao pesquisaveis e parseados automaticamente. Texto livre nao e.
JSON logging, pino/winston, correlation IDs, log aggregation, ELK stack.
Metricas especificas de apps com IA: tokens por request, latencia p50/p99, custo por usuario/dia.
Sem metricas de IA, custo escala sem controle. Um usuario pode custar 100x mais que outro.
Token tracking, latencia percentis, cost per request, cost per user, budget alerts.
Configurar alertas para anomalias: error rate spike, latencia alta, custo acima do budget.
Alertas proativos evitam que problemas virem crises. MTTR cai drasticamente.
Alert thresholds, escalation policies, on-call, incident response, postmortem.
Tecnicas para debugar problemas em apps com IA: prompt replay, response diff, trace analysis.
Bugs em IA sao nao-deterministicos. Tecnicas tradicionais de debug nao bastam.
Prompt replay, response logging, A/B comparison, trace-based debugging, LangSmith.
Implementar logging estruturado, dashboard de metricas e alertas basicos no seu SaaS.
Observabilidade basica ja resolve 80% dos problemas de producao. Comece simples.
Pino setup, metricas dashboard, Sentry integration, health check endpoint.
๐ณ Pagamentos e Planos SaaS
Modelos de monetizacao, Stripe, planos, trial/freemium e usage-based billing.
Subscription, usage-based, freemium, one-time, credits. Qual modelo para qual tipo de SaaS.
O modelo de pricing errado mata SaaS viavel. Apps com IA tem custos variaveis que complicam.
5 modelos, pros/cons de cada, quando usar, unit economics, LTV/CAC.
Integracao Stripe: Checkout Sessions, Customer Portal, webhooks, subscription lifecycle.
Stripe e o padrao para SaaS. A integracao correta economiza semanas de bugs de billing.
Stripe API, Checkout, Customer Portal, webhooks, idempotency, test mode.
Estruturar planos: Free, Pro, Enterprise. Definir limites, features por plano, pricing page.
Planos mal estruturados causam churn. O segredo e alinhar valor com custo.
Tier structure, feature gating, usage limits, pricing psychology, anchoring.
Estrategias de trial (7/14/30 dias) vs freemium (free forever com limites). Conversao e metricas.
Trial converte 15-25%, freemium 2-5%. A escolha impacta unit economics drasticamente.
Trial vs freemium, conversion rates, activation metrics, paywall positioning.
Cobranca por uso: tokens, API calls, mensagens, storage. Metering e invoice generation.
Apps com IA tem custo variavel por usuario. Usage-based alinha receita com custo real.
Metering, usage records, Stripe metered billing, overage charges, usage dashboards.
Implementar Stripe Checkout: criar produtos, pricing page, webhook handler, customer portal.
Checkout funcional e o ponto onde seu projeto vira um negocio real.
Stripe test mode, checkout session, webhook verification, subscription status sync.
๐ Landing Page e Analytics
Anatomia de landing page SaaS, copywriting, SEO, analytics e A/B testing.
Estrutura padrao: Hero, Social Proof, Features, Pricing, FAQ, CTA. Cada secao com proposito claro.
Landing pages que convertem seguem padroes. Reinventar a roda reduz conversao.
Hero section, above the fold, social proof, feature grid, pricing table, CTA placement.
Escrever copy que vende sem hype. Headline, subheadline, beneficios vs features, CTA copy.
Copy ruim mata conversao. "Powered by AI" nao e proposta de valor.
PAS framework, beneficios vs features, headline formulas, microcopy, trust signals.
Fundamentos de SEO: meta tags, Open Graph, sitemap, robots.txt, performance, Core Web Vitals.
SEO basico e gratuito e compound. 10 minutos de config hoje trazem trafego por meses.
Meta title/description, OG tags, structured data, sitemap.xml, Core Web Vitals.
Metricas que importam: visitors, signup rate, activation, retention, revenue. Vanity vs actionable.
Medir tudo e nao medir nada. Foque nas metricas que guiam decisoes.
AARRR funnel, Google Analytics 4, custom events, conversion tracking, cohort analysis.
Testar variacoes de headline, CTA, pricing, layout. Significancia estatistica e sample size.
A/B testing transforma opiniao em dados. Pequenas mudancas podem dobrar conversao.
Hypothesis, variants, sample size, statistical significance, Vercel Edge Config, Posthog.
Criar e publicar landing page completa: hero, features, pricing, analytics integrado.
Landing page publicada e o primeiro ponto de contato com usuarios reais.
Vercel deploy, GA4 setup, OG tags, performance audit, mobile responsiveness.
๐ Deploy Final
Checklist de deploy, CI/CD pipeline, dominio e DNS, seguranca em producao e monitoramento pos-deploy.
Lista completa pre-deploy: env vars, secrets, build, testes, performance, seguranca, backups.
Deploys sem checklist esquecem coisas. Um env var faltando derruba producao.
Pre-deploy checklist, env validation, build verification, smoke tests, rollback plan.
Pipeline automatizado: push > lint > test > build > deploy. GitHub Actions, Vercel, Railway.
Deploy manual e propenso a erro. CI/CD garante consistencia e velocidade.
GitHub Actions, Vercel auto-deploy, preview deploys, environment variables, branch protection.
Registrar dominio, configurar DNS, apontar para Vercel/Railway, SSL automatico.
Dominio proprio passa credibilidade. myapp.vercel.app nao converte como myapp.com.
DNS records (A, CNAME), nameservers, SSL/TLS, Cloudflare, propagation time.
Hardening de producao: HTTPS, headers de seguranca, CSP, rate limiting, error handling seguro.
Producao e ambiente hostil. Cada endpoint e um potencial vetor de ataque.
Security headers, CSP, HSTS, error masking, dependency audit, npm audit.
Monitorar as primeiras horas: error rates, latencia, logs, feedback de usuarios, uptime.
As primeiras 24h pos-deploy sao criticas. Problemas aparecem com trafego real.
Uptime monitoring, error tracking, real user monitoring, feedback loops, hotfix process.
Deploy final completo: dominio, CI/CD, monitoramento, checklist verde. Seu SaaS esta no ar.
Este e o momento final das 6 trilhas. App publicada, funcionando, monitorada.
Full deploy, domain setup, CI/CD green, monitoring live, launch checklist complete.