Como testar autenticação e autorização em Backend

"Você é um especialista em arquitetura de software e segurança. Sua tarefa é criar um design de API RESTful robusto e flexível para um sistema de autenticação e autorização centralizado (SSO) para uma empresa SaaS multi-tenant. O design deve contemplar:

1.  **Fluxos de autenticação:**
    *   Autenticação baseada em credenciais (usuário/senha).
    *   Autenticação via OAuth 2.0 (para integração com provedores externos como Google, GitHub, etc.).
    *   Autenticação sem senha (ex: Magic Link por e-mail).
    *   Suporte a 2FA/MFA (TOTP, SMS).

2.  **Fluxos de autorização:**
    *   Controle de acesso baseado em funções (RBAC) com granularidade de permissões por tenant.
    *   Controle de acesso baseado em atributos (ABAC) para regras mais complexas (ex: "usuário só pode acessar dados do seu próprio projeto").
    *   Delegação de permissões (ex: um administrador de tenant pode criar outros usuários e atribuir-lhes funções).

3.  **Gerenciamento de tokens:**
    *   Uso de JWTs (JSON Web Tokens) para tokens de acesso e refresh tokens.
    *   Estratégias de revogação de tokens (logout, alteração de senha, inatividade).
    *   Mecanismos de segurança para tokens (armazenamento seguro, expiração, rotação).

4.  **APIs para gerenciamento de usuários e tenants:**
    *   Criação, leitura, atualização e exclusão (CRUD) de usuários.
    *   Criação, leitura, atualização e exclusão (CRUD) de tenants.
    *   Gerenciamento de associações de usuários a tenants e funções.
    *   APIs para redefinição de senha e recuperação de conta.

5.  **Considerações de segurança:**
    *   Proteção contra ataques comuns (CSRF, XSS, Brute Force, Replay Attacks).
    *   Rate limiting.
    *   Auditoria de eventos de segurança.
    *   Princípio do menor privilégio.

6.  **Escalabilidade e desempenho:**
    *   Como o