diff --git a/app.js b/app.js
index 84091dd..8151d3b 100644
--- a/app.js
+++ b/app.js
@@ -55,11 +55,6 @@ function createApp() {
     return res.redirect("/login");
   }
 
-  // monta rotas de autenticação públicas
-  app.use("/", authRoutes);
-
-  // servir /public APENAS quando autenticado
-  app.use("/public", requireAuth, express.static(path.join(__dirname, "public")));
 
   // proteger demais rotas (ex.: /upload, /consulta)
   app.use((req, res, next) => {
@@ -594,6 +589,9 @@ function createApp() {
   // Usa as rotas de autenticação
   app.use("/", authRoutes);
 
+    // servir /public APENAS quando autenticado
+  app.use("/public", requireAuth, express.static(path.join(__dirname, "public")));
+
   // Middleware para proteger rotas
   app.use((req, res, next) => {
     if (!req.session.user && req.path !== "/login" && !req.path.startsWith("/auth")) {