Game Price Monitor

❌ O login até pode ter funcionado no Supabase, mas o dashboard não conseguiu validar a sessão (voltou para esta página sem mensagem de “senha errada”). HTTPS não elimina este erro — é validação de JWT/cookies no servidor. Use sempre o mesmo host (gameprice.app ou www.gameprice.app). Cookies são por host: misturar os dois faz o navegador “perder” a sessão. No DevTools → Rede, no POST /login, confira se a resposta traz Set-Cookie para gpm_access / gpm_refresh. Em Aplicativo → Cookies, confira se esses cookies existem para o host que você está usando. Projeto com JWT Signing Keys (token ES256): o backend valida pelo JWKS público do SUPABASE_URL — não depende só do SUPABASE_JWT_SECRET. O secret legacy só cobre tokens HS256. Se usar tokens HS256, o SUPABASE_JWT_SECRET no .env da VPS tem de ser o JWT Secret em Supabase → Settings → API (mesmo projeto do SUPABASE_URL), não a anon key nem o service role. Em HTTP puro (ex.: IP:8888), use WEB_SESSION_COOKIE_SECURE=false; em HTTPS, WEB_SESSION_COOKIE_SECURE=true.