Sécurité

Sécurité & durcissement

La sécurité est intégrée à chaque couche.

Authentification & chiffrement #

  • JWT d'accès courts + refresh tokens opaques en cookie HttpOnly.
  • Mots de passe en Argon2id ; données sensibles en AES-256-GCM.
Flux : navigateur, core (vérifie le JWT) puis module via en-têtes injectés
Le core authentifie, puis proxifie en injectant l'identité ; le module ne voit jamais les jetons.

Isolation #

  • Bac à sable seccomp : les modules ne peuvent pas exécuter de processus (execve interdit).
  • Un schéma PostgreSQL par module ; aucune table hors périmètre.
  • Routes internes protégées par X-Internal-Secret ; en-têtes HSTS / X-Frame-Options ; durcissement anti-DDoS.
Audit

Tout le code est libre (AGPLv3) et auditable. Gardez vos secrets (JWT_SECRET, INTERNAL_SECRET) hors des dépôts et changez-les en cas de doute.