Аутентификация
- Учётная запись администратора по умолчанию (
admin/admin) создаётся при первом запуске с обязательной сменой пароля - Пароли хешируются с помощью bcrypt
- API-ключи хешируются с помощью SHA-256
Рекомендации для продакшена
- Разместите сервер за обратным прокси с HTTPS (nginx, caddy и т.д.)
- Защитите файл
botdata.db— он содержит все собранные сообщения - Используйте переменные окружения для токенов ботов — избегайте попадания в историю команд
- Ограничьте сетевой доступ к порту BotMux
Безопасность API
- Все API-эндпоинты (кроме проверки состояния, SPA и
/tgapi/) требуют аутентификации /tgapi/использует токен бота как авторизацию (аналогично Telegram API)- Сессионные cookie: HttpOnly, SameSite=Strict, срок действия 30 дней
- API-ключи: Bearer-токен в заголовке Authorization
Безопасность моста Slack
- Верификация подписи HMAC-SHA256 для всех входящих событий
- Защита от повторных атак в течение 5 минут
- Всегда настраивайте
signing_secret