-- Tornar bucket de avatares NÃO público (acesso só via signed URL ou owner)
UPDATE storage.buckets SET public = false WHERE id = 'avatars';

-- Remover a policy ampla
DROP POLICY IF EXISTS "Avatars are publicly accessible" ON storage.objects;

-- Permitir que qualquer utilizador autenticado leia os avatares (necessário para mostrar fotos de perfil)
CREATE POLICY "Authenticated users can view avatars"
  ON storage.objects FOR SELECT
  TO authenticated
  USING (bucket_id = 'avatars');