Roadmap aberto da Plataforma Educação

Modal não intrusivo aparece após 8s na primeira visita ao Dashboard. Subscribe persistido em push_subscriptions com FK cascade. Service worker handlers de push e notificationclick. VAPID provisionado em produção via MCP browser automation.

GET /api/educacao/challenges deriva 4 desafios da course_progress sem nova tabela. ChallengesWidget no Dashboard com barra de progresso animada, contagem por desafio e XP bônus disponível.

/admin/content-lint protegida por validateAdminSession. Server action lintContentAction chama validateContent direto, sem expor METRICS_API_KEY. Textarea + 5 opções, 8 ScoreCards e issues coloridas por severidade. Endpoint REST mantido para uso externo via curl.

ChallengesWidget como section semantica com aria-labelledby, role=progressbar com aria-valuenow/min/max em cada barra e aria-live no loading. PushOptInModal com role=dialog, aria-labelledby/describedby, role=alert no erro e aria-busy nos botões.

Página de preferências do aluno: trilha preferida, ativar/desativar push, exclusão LGPD com confirmação DELETAR. DELETE /api/educacao/profile faz cascata via FK + supabase.auth.admin.deleteUser.

Componente React que renderiza markdown com bold, headings h4 com border-bottom, listas, código inline e blockquotes — mantendo paridade visual com o template Jinja2 usado no pipeline curso-factory.

Schema.org Course + CourseInstance presente em todas as 38 páginas de curso. Inclui name, description, provider, hasCourseInstance com courseMode online e courseWorkload. Validado para rich results no Google Search.

9 componentes reutilizáveis: botões, formulários, modais, tipografia, ícones, layouts, tabelas, notificações e navegação. CSS modular com design atômico.

Auditoria completa com 34 vulnerabilidades identificadas e 11 corrigidas. Autenticação obrigatória em endpoints sensíveis, sanitização contra injection, CSP hardened, rate limiting, SSRF blocklist, JWT timing-safe, fail-closed secrets. Scan externo Nuclei: 0 vulnerabilidades exploitáveis.

9 tipos branded que garantem integridade de dados via verificações em tempo de compilação: IDs únicos, valores monetários, estruturas críticas.

Controles avançados e atalhos de teclado: play/pause, volume, qualidade, legendas, avanço/retrocesso 10s, velocidade, tela cheia. Acessível via leitores de tela.

5 widgets funcionais: calendário de aulas, lista de tarefas, gráfico de desempenho, notificações e feed de atividades recentes, com atualização em tempo real.

8 tipos de questão: múltipla escolha, V/F, preenchimento, ordenação, associação, resposta curta, ensaio e drag-and-drop. Otimizado para mobile.

Google Consent Mode v2: usuários escolhem cookies e rastreamento. Ajuste dinâmico de tags com base nas preferências, mantendo conformidade total.

Tracker de progresso em tempo real: interações, tempos de conclusão, taxas de sucesso em quizzes. Análise preditiva para recomendações personalizadas.

JSON-LD com Schema.org para cursos, ProgressBar visual de conclusão, dados estruturados para rich results no Google Search.

Ao concluir 100% dos módulos, o aluno recebe animação de confetti + modal para solicitar certificado por email via Resend.

Componente anterior/próximo curso em todos os 48 cursos, seguindo a sequência da trilha de aprendizado.

23 badges visuais de todos os cursos com indicador de conclusão, barra de progresso global e contagem de módulos/certificados na página /educação.

Tracking de início de curso, conclusão de módulos e cursos, atualização de streaks e activity log em todos os 48 cursos via edu-analytics.

Dashboard do aluno alimentado por localStorage real: 48 cursos sincronizados, streak compatível com dois formatos, storageKeys corrigidos.

Sistema completo de cadastro e login: AuthProvider unificado no root layout, confirmação por e-mail com PKCE flow, callback /auth/callback com Suspense, redirect automático pós-login para /educacao/dashboard, tradução de erros em PT-BR.

Content-Security-Policy hardened com connect-src para Supabase, rate limiting por IP no middleware, security headers (HSTS, X-Frame-Options, XSS Protection), health check /api/health com status de auth em tempo real.

Varredura de segurança com 5 LLMs + Nuclei v3.7.1 (ProjectDiscovery). 34 vulnerabilidades mapeadas, 11 corrigidas: auth em endpoints críticos, sanitização PostgREST, CSP sem unsafe-eval, SSRF blocklist, JWT timing-safe, fail-closed secrets. Padrões de segurança criados em governance/security/ para todos os repositórios.

CLI Python com 5 LLMs orquestrados e prompts externos de alta densidade (~200 linhas cada). Quality gate de 5 camadas: auto-correção de acentos (300+ mapeamentos), validação de conteúdo (tabelas, Bloom, andragogia, clichês), links, HTML e FinOps. Padrão editorial HSM/HBR/MIT Sloan enforced. US$ 3-8 por curso.

Hook useProgress faz merge automático de progresso: localStorage como fallback, Supabase como fonte principal quando autenticado. Migração transparente ao fazer primeiro login — nenhum progresso é perdido.

Ranking público em /educacao/leaderboard com filtro por liga (Bronze 0-499 XP, Prata 500-1.999 XP, Ouro 2.000+ XP). API GET /api/educacao/leaderboard com cache de 60s, anonimizacao de PII (sobrenome mascarado), top 30 com sequência, nivel e XP. Encerra a Fase 3 do roadmap original.

Endpoint GET /api/educacao/recommendations devolve top 5 proximos cursos com scoring determinístico: trilha preferida, match de interesses, nivel apropriado, pre-requisitos satisfeitos. Respeita progresso do estudante e fornece reasons textuais. Catálogo de cursos versionado em src/lib/course-catalog.ts. Antecipa a Fase 6 (IA Adaptativa) do roadmap.

Porte TypeScript do accent_checker.py do curso-factory para src/lib/accent-validator.ts (220 entradas das mais frequentes, com mascaramento de URLs/imports/código). Integrado ao /api/student-signup como auto-correção soft do display_name. Reusa o aprendizado do incidente 2026-03-27 (55 hrefs corrompidos) preservando o que esta entre acentos de proteção.

Modal mostrado uma única vez no primeiro acesso ao Dashboard quando preferred_track e null. 5 trilhas (IA, SEO/GEO, Dev, Dados, Marketing) com descricoes e icones. Salva via PATCH /api/educacao/profile e dispara reload para o widget de recomendacoes pegar a trilha. Mata o problema do dashboard vazio.

Cron Vercel toda segunda-feira as 10h BRT dispara /api/educacao/digest/weekly que itera os student_profiles, calcula posição no leaderboard, gera 3 recomendacoes e envia email HTML personalizado via Resend. Auth via CRON_SECRET ou METRICS_API_KEY. Suporta dry-run para teste.

Validador editorial em src/lib/content-validator.ts: detecta cliches proibidos (18 expressoes), verbos de Bloom de baixo nivel em objetivos, paragrafos longos, ausência de tabelas/blockquotes/exercícios, contagem de palavras. Score 0-100. Endpoint admin POST /api/admin/content-lint para validar artigos antes de publicar.

Service worker registrado no /sw.js com 3 estrategias: cache-first para assets estaticos, stale-while-revalidate para páginas /educacao/* e catalogo público, network-only para endpoints autenticados. Avanca a Fase 5 (Mobile PWA) — manifest já existia, agora a plataforma funciona offline para conteúdo já visitado.

Rota /educacao/recomendacoes com UI completa do recomendador: cards por trilha, reasons explicitas, score visivel, indicador de personalização. Widget compacto integrado ao Dashboard do aluno (RecommendationsWidget) consumindo a mesma API. Fecha o loop UX da Fase 6 (IA Adaptativa).

GET /api/educacao/health verifica em tempo real: catalogo (in-memory), variaveis Supabase, conectividade e contagens das tabelas student_profiles e course_progress. Devolve 200/503 para uptime checkers e timing por check. Fallback gracioso no leaderboard quando ranking estiver indisponivel — página não quebra mais.

Endpoint GET /api/educacao/catalog expoe os cursos da plataforma como ponte oficial entre landing-page-geo e curso-factory. Filtros por trilha e nivel, stats agregadas, cache de 1h, CORS aberto. Permite que o curso-factory descubra o que já esta publicado e que integradores externos (Looker Studio, AI agents) leiam sem scraping.

Bug corrigido em /api/student-signup: a checagem de e-mail duplicado usava listUsers({perPage:1}) e nunca disparava. Substituido por query direta em student_profiles, eliminando criacao silenciosa de duplicatas e devolvendo HTTP 409 com mensagem clara em PT-BR.