Feature flags em apps sem código permitem liberar novas telas e fluxos gradualmente, testar com segurança e reverter instantaneamente sem branching.
Releases parecem arriscadas porque uma mudança “pequena” raramente fica pequena para os usuários. Uma nova tela muda onde as pessoas clicam. Um ajuste de fluxo altera o que é aprovado, faturado ou enviado por e-mail. Se você publicar isso para todos de uma vez, qualquer surpresa vira um incidente em grande escala.
Esse estresse aumenta quando o app executa operações reais: uma ferramenta interna de admin, um portal de clientes ou um fluxo de suporte. Um passo errado pode gerar dados ruins, confundir equipes ou mandar a mensagem errada para clientes.
Feature flags reduzem esse risco. Uma feature flag é um interruptor: quando está LIGADO, usuários veem a nova tela ou seguem o novo fluxo; quando está DESLIGADO, eles ficam na versão atual. Em vez de um único “dia de release” tenso, você escolhe quem recebe a mudança e quando.
Algumas equipes tentam se proteger clonando o projeto, construindo em uma versão separada e depois trocando. Isso troca um risco por outro: duas cópias para manter, correções duplicadas e incerteza constante sobre qual versão é a fonte de verdade. Em ferramentas que regeneram apps conforme os requisitos mudam, esse tipo de branching pode atrasar ainda mais.
Feature flags mantêm um projeto único, mas permitem controlar a exposição. Você pode começar com um grupo pequeno, ver o que quebra e expandir a partir daí.
Um modelo mental útil: flags são para controle, não para qualidade. Elas limitam o raio de impacto e tornam o rollback rápido, mas não substituem os testes.
Releases costumam assustar por motivos previsíveis. Usuários podem se perder quando navegação ou formulários mudam. Workflows podem acionar aprovações, pagamentos ou notificações erradas. Dados podem ser salvos em um formato novo que telas antigas não esperam. Suporte e vendas se surpreendem no meio do dia. E se algo der errado, a correção muitas vezes é “enviar outra atualização”, o que leva tempo.
Uma flag é um interruptor simples que você pode acionar sem reconstruir todo o app. Na prática, flags controlam três coisas principais: o que as pessoas veem, o que acontece quando elas agem, e o que você pode desligar rápido se algo der errado.
O uso mais óbvio é o gate de UI. Você pode esconder uma nova tela até que esteja pronta, mostrar um novo botão apenas para um grupo piloto ou revelar um novo item de menu só para admins primeiro.
Isso importa principalmente quando você está reconstruindo a navegação ou introduzindo um novo fluxo que confundiria todo mundo se surgisse da noite para o dia. Em um construtor sem código, a mudança de UI pode ser “apenas uma tela”, mas o impacto no suporte pode ser grande.
Flags não são só sobre visuais. Elas podem decidir qual workflow será executado.
Por exemplo, você pode direcionar usuários para o processo antigo de checkout ou para o novo com base numa flag, mesmo que ambas as telas existam. A mesma ideia vale para passos de aprovação, repasses de suporte ao cliente ou qualquer processo de negócio que você modele num editor visual.
Coloque a checagem da flag perto do início do processo. Isso mantém a lógica do resto limpa e evita a pior experiência: começar por um caminho e ser jogado para outro no meio.
Kill switches merecem atenção especial. Se um passo de pagamento, integração de mensagens ou novo formulário começar a falhar, um kill switch permite desligá-lo rápido mantendo o resto do app funcionando.
Uma regra importante: mantenha regras de permissão separadas das feature flags. Permissões respondem “quem tem autorização para fazer isto?” Flags respondem “esta versão está ativa agora?” Quando você mistura, acaba mostrando um recurso ao grupo errado ou bloqueando os usuários certos durante um rollout.
Os releases mais seguros são releases sem surpresas. Mostre a mudança a uma fatia pequena e escolhida de usuários primeiro, aprenda rápido e depois amplie. Esse é o real valor das flags: exposição controlada sem duplicar telas ou forkar o projeto inteiro.
Inicie com regras que combinem com a forma como sua equipe já trabalha:
Quando o grupo piloto estiver estável, passe para um rollout mais amplo.
Em vez de ligar a mudança para todos, expanda em etapas. Rollout por porcentagem é uma abordagem comum: comece pequeno, confirme que nada quebrou e então aumente.
Janelas de tempo ajudam também. Você pode habilitar um novo fluxo apenas durante o horário comercial, quando sua equipe está online para observar tickets e logs, e desligá-lo à noite. A mesma ideia serve para períodos promocionais, telas sazonais ou experimentos temporários.
Quando você precisa de previsibilidade, segmente com base em regras de dados: uma região, um nível de plano ou contas com mais de 30 dias. Escolher um segmento de usuário mais consistente reduz surpresas.
Se você constrói no AppMaster, esses padrões mapeiam bem para regras de visibilidade de tela e checagens de workflow na lógica de Business Process, assim o app decide o que mostrar e qual caminho seguir antes do usuário bater num beco sem saída.
Flags funcionam melhor quando são tratadas como pequenos produtos. Cada flag precisa de um propósito, um dono e uma data de término. Sem isso, você acaba com interruptores misteriosos que ninguém ousa tocar.
Comece decidindo onde as flags ficam. Para muitas equipes, uma tabela no banco de dados é a opção mais simples porque é fácil de visualizar, filtrar e auditar. No AppMaster, isso geralmente significa um pequeno modelo PostgreSQL no Data Designer (por exemplo: key, enabled, rollout_percent, updated_by, updated_at). Para flags que nunca devem mudar em runtime, uma configuração de ambiente por deploy pode ser mais segura.
Escolha um esquema de nomes que permaneça legível conforme cresce. Chaves estáveis que dão pista de onde são usadas funcionam bem, como ui.onboarding_v2, bp.approval_routing_v1 ou api.orders_search_v2. Adicione metadados para que as pessoas saibam o que estão alterando.
Uma “spec” curta da flag costuma ser suficiente:
Planeje o padrão e o fallback antes de alguém construir a UI. Pergunte: “Se esta flag estiver DESLIGADA, o que o usuário vê e o que acontece no workflow?” Para uma nova tela, o fallback geralmente é a tela antiga. Para um workflow novo, o fallback pode ser o caminho antigo ou um modo somente leitura que evita ações arriscadas.
Finalmente, decida quem pode alternar flags. Uma regra comum: os builders podem criar flags, mas apenas donos de release podem mudá-las em produção, com uma breve nota de aprovação. Isso mantém rollouts calmos e rollbacks rápidos.
Você não precisa de um branch separado ou de uma segunda cópia do app para entregar com segurança. Adicione um pequeno conjunto de dados e algumas checagens nos pontos certos para poder ligar e desligar mudanças em segundos.
Crie um modelo Flag na camada de dados. Mantenha simples e claro: key (nome único), enabled (true/false), rollout_rules (texto ou JSON) e notes (por que existe, quem é o dono, quando remover).
Construa uma tela administrativa simples para editar flags. Adicione validação básica (chave obrigatória, chaves únicas, formato previsível das regras) e restrinja acesso a admins. Isso vira seu painel de controle durante releases.
Cheque a flag antes de mostrar uma tela ou iniciar um workflow. Coloque a checagem no ponto de entrada, não lá no fundo. Para uma tela, verifique antes de navegar ou antes de renderizar blocos chave. Para um workflow, cheque no início para não fazer metade do trabalho e então mudar de caminho.
Adicione regras de segmentação que combinem com o mundo real. Comece com regras por função, depois allowlists para IDs de usuário específicos e só então rollout por porcentagem. Rollout por porcentagem funciona melhor quando é estável por usuário, para que a mesma pessoa não fique alternando entre versões.
Adicione um caminho de kill switch para cair rápido no fallback. Mantenha o fluxo antigo no lugar e redirecione usuários para ele quando a flag estiver desligada.
Depois disso, registre a decisão cada vez que a flag for avaliada: chave da flag, usuário, regra que casou e resultado (on/off). Quando alguém disser “não consigo ver a nova tela”, você pode checar o log e responder em minutos em vez de chutar.
Feature flags funcionam melhor quando têm um único local de verdade. Se a mesma flag for copiada em várias tabelas, telas ou workflows, você vai acabar alternando uma e esquecendo outra. Mantenha uma fonte única de verdade (por exemplo, um conjunto FeatureFlags com nomes claros) e faça todas as telas e workflows lerem dali.
Coloque a checagem bem onde a decisão é tomada: quando o usuário entra numa tela ou no primeiro passo de um workflow. Se você checar uma flag no meio do processo, pessoas podem começar o novo caminho e depois voltar para o antigo, o que parece quebrado.
Pontos comuns para aplicar gates incluem entrada de tela (novo vs antigo), início do workflow (qual processo executar), ações arriscadas (como um novo pagamento ou gravação de dados), menus de navegação e chamadas de API (trocar endpoints antigos por novos ou formatos de payload).
Caching importa mais do que parece. Cache demais e o “rollback instantâneo” não será instantâneo para usuários reais. Atualize demais e você pode deixar o app mais lento.
Uma regra prática é carregar flags no início da sessão (login ou abertura do app) e atualizá-las quando for necessário, por exemplo quando um admin muda uma flag ou quando um usuário volta para a tela inicial.
Mantenha o caminho antigo funcionando até que o rollout esteja realmente concluído. Telas antigas devem continuar carregando, workflows antigos devem validar dados e tabelas compartilhadas não devem ser alteradas de um jeito que só o novo fluxo entenda. Se o novo onboarding gravar campos extras, garanta que o fluxo antigo possa ignorá-los com segurança.
Trate mudanças de flag como mudanças em produção. Registre quem mudou o quê e quando. Mesmo uma página admin simples pode escrever uma entrada de auditoria toda vez que uma flag é atualizada, assim você responde “por que isso mudou?” durante um incidente sem chutar.
Trate cada flag como um mini-release. Você não está apenas escondendo uma tela; está mudando o que as pessoas podem fazer.
Comece com checagens manuais que imitam a vida real. Faça login como cada grupo alvo que planeja expor (funcionários internos, clientes beta, todos). Confirme que eles veem a UI correta e que o workflow por trás dela completa de ponta a ponta.
Execute testes negativos também. Use uma conta que não deveria receber o recurso e tente acessá-lo: abra o menu antigo, tente um link salvo, repita a ação que dispara o novo fluxo. Se ainda assim conseguirem entrar na nova experiência, seu gate está raso demais.
Antes de ligar para clientes:
Mantenha o monitoramento ligado a resultados: taxa de erro (erros do app ou passos falhos), tickets de suporte sobre a mudança e conclusão da tarefa chave (cadastro finalizado, pedido realizado, solicitação enviada).
Pratique um drill de rollback enquanto os riscos são baixos. Ligue a flag para um pequeno piloto interno, execute a tarefa chave, depois desligue a flag e confirme a recuperação. Usuários devem voltar às telas antigas, trabalhos em andamento não devem travar, e o app deve se comportar normalmente após refresh e novo login. Se o rollback não for rápido na prática, ele não é um verdadeiro teste de segurança.
Mantenha o primeiro piloto pequeno: usuários internos primeiro, depois alguns clientes amigáveis e só então amplie. Esse ritmo dá tempo para notar problemas antes que virem problema de todo mundo.
Feature flags são simples, mas podem criar releases bagunçados quando viram infraestrutura permanente.
Uma armadilha comum é deixar ambos os caminhos — antigo e novo — no lugar muito tempo depois do rollout. O app ainda “funciona”, mas toda mudança futura demora mais porque você está atualizando duas versões. Isso é dívida de flag. Decida desde o início quando a flag será removida e agende essa limpeza assim que o rollout estiver estável.
Outro movimento arriscado é usar flags como permissões. Uma flag é ótima para exposição, mas não é uma fronteira de segurança. Se você esconde um botão com uma flag, mas o workflow ainda pode ser acionado por outro caminho, você terá confusão no melhor dos casos e vazamento de dados no pior. Mantenha o controle de acesso real na autenticação e regras baseadas em função, e use flags apenas para rollout.
Toda flag precisa de um fallback seguro. Se o caminho “novo” falhar, o caminho “off” deve completar a tarefa. Se uma nova tela de onboarding quebrar em certo dispositivo, usuários ainda devem conseguir se cadastrar pelo fluxo existente, não bater num beco sem saída.
Esses guardrails mantêm os releases calmos:
Allowlists fixas falham silenciosamente. Equipes testam apenas contas internas e esquecem que novos usuários, convidados ou pessoas em outra região tomam um caminho diferente. Inclua um bucket padrão para novos usuários ou use rollout por porcentagem que naturalmente abrange novos cadastros.
Mudar várias flags ao mesmo tempo também torna o debug doloroso. Se o suporte reporta “checkout está quebrado”, você não saberá se foi a nova tela, um gate de workflow ou uma mudança de dados. Mantenha rollouts lentos e previsíveis.
Imagine que seu onboarding hoje é simples: tela de boas-vindas, formulário curto e ativação automática da conta. Você quer substituir por uma tela redesenhada mais um novo workflow de aprovação (por exemplo, vendas revisa certas contas antes da ativação). Flags permitem mudar a experiência sem arriscar todo mundo de uma vez.
Comece com uma flag que represente toda a nova experiência, como new_onboarding_v2. Mantenha o onboarding antigo e o caminho antigo de ativação no lugar.
Faça o rollout em fases:
Trate usuários já em processo de onboarding com cuidado. Não os mude no meio. Decida o caminho uma vez, armazene na conta (por exemplo, onboarding_version = v1 or v2) e mantenha a pessoa nesse caminho até a conclusão.
Adicione também um kill switch. Se os relatórios de erro subirem, você deve ser capaz de desabilitar o novo caminho instantaneamente. Na prática, isso significa colocar checagens nos pontos de entrada: a primeira tela de onboarding e o primeiro passo do workflow que roteia usuários para aprovação.
Quando o novo fluxo estiver estável por um ciclo completo (aprovações, e-mails, casos de borda), remova a flag e delete o caminho antigo. Manter caminhos mortos por aí torna o próximo release mais arriscado, não mais seguro.
Antes de liberar algo por trás de uma flag, faça uma verificação rápida dos básicos. A maioria dos problemas com flags vem de confusão de nomes, propriedade incerta e switches que nunca são removidos.
Faça um ensaio pequeno. Escolha uma tela ou passo de workflow seguro, ligue a flag para um usuário interno, depois desligue novamente. Se você não conseguir reverter em segundos, conserte isso antes de usar flags em releases maiores.
Escolha uma mudança próxima e entregue-a por trás de uma flag. Faça com que seja significativa (uma nova tela, um passo de aprovação, uma nova página de onboarding) para aprender como o rollout gradual se comporta com uso real.
Se você está construindo com AppMaster, pode manter flags em um modelo PostgreSQL simples e avaliá-las em regras de tela e na lógica de Business Process sem forkar o projeto inteiro. AppMaster (appmaster.io) é projetado para aplicações completas, então esse tipo de gating de workflow se encaixa naturalmente quando você quer fazer rollouts mais seguros.
O que é uma feature flag em um app sem código?Uma feature flag é um interruptor simples (on/off) que controla se os usuários veem uma nova tela ou seguem um novo fluxo. Em vez de liberar a mudança para todos de uma vez, você pode exponê-la primeiro a um pequeno grupo e ampliar só depois de confirmar que funciona bem.
Por que não simplesmente clonar o app e trocar versões quando estiver pronto?Clonar cria duas fontes de verdade, correções duplicadas e mais chances de comportamentos inconsistentes. Flags permitem manter um único projeto e controlar a exposição, para avançar ou reverter sem gerenciar cópias paralelas.
Qual é o plano de rollout mais seguro para uma equipe não técnica?Comece com um piloto interno pequeno (como ops ou suporte), depois amplie para um grupo baseado em função (Admins/Managers) e só então considere rollout por porcentagem. Assim você aprende com o uso real antes de afetar todos.
As feature flags substituem os testes?Flags limitam o raio de impacto e tornam o rollback rápido, mas não impedem a existência de bugs. Você ainda precisa testar porque uma feature ativada pode quebrar dados, pagamentos, aprovações ou notificações.
Como as feature flags diferem de permissões?Use flags para controlar exposição e timing; use permissões para segurança e controle de acesso. Misturá-las pode acabar escondendo recursos das pessoas certas ou expondo aos errados.
Onde devo colocar checagens de flag em telas e workflows?Coloque a checagem no ponto de decisão: antes de o usuário entrar numa tela ou no primeiro passo de um workflow. Evite verificar no meio do processo, pois isso pode iniciar um caminho e depois mudar para outro, causando uma experiência quebrada.
O que é um kill switch e quando devo usar um?Um kill switch é uma flag destinada ao desligamento rápido de um recurso arriscado, como um passo de pagamento ou integração de mensagens. Quando algo começa a falhar, você a desliga e redireciona usuários para o caminho seguro existente.
Onde as feature flags devem ficar em um projeto sem código?Uma tabela simples no banco de dados funciona bem porque é fácil de editar, auditar e visualizar em um só lugar. Mantenha mínima e legível: chave, estado habilitado, regras de rollout, notas e timestamps.
Como faço rollout por porcentagem sem que usuários fiquem alternando?Faça o rollout estável por usuário, usando um identificador consistente para que a mesma pessoa permaneça no mesmo bucket. Se users alternarem entre experiências antigas e novas, a sensação fica ruim e o suporte fica difícil.
Quando devo remover uma feature flag?Remova a flag e delete o caminho antigo quando o rollout estiver estável por um ciclo completo e você tiver confiança de que o rollback não será necessário. Deixar ambos os caminhos para sempre cria “dívida de flags” que torna mudanças futuras mais lentas e arriscadas.
21 de jan. de 2026
8 min
20 de jan. de 20268 min
20 de jan. de 20268 minExperimente o AppMaster com plano gratuito.
Quando estiver pronto, você poderá escolher a assinatura adequada.
