Как защищен MVP
Это базовый защитный слой для закрытого MVP: HTTPS, хэширование паролей, токены доступа, ограничение частых попыток и возможность удалить аккаунт.
Что уже включено
- HTTPS на публичном адресе через reverse proxy.
- Пароли хэшируются через PBKDF2-HMAC-SHA256 с солью.
- Токены подписываются серверным секретом и имеют срок жизни.
- Email verification использует одноразовые токены с ограниченным сроком жизни.
- Password reset выдает одноразовую ссылку и хэширует новый пароль заново.
- Rate limit ограничивает частые попытки регистрации, входа и API-запросов.
- Удаление аккаунта стирает пользователя и сохраненные snapshots.
Что еще нужно до публичного запуска
- Подключить брендовый домен вместо временного sslip.io адреса.
- Подключить реальный SMTP/email-провайдер для отправки писем пользователям.
- Включить резервные копии базы и мониторинг ошибок.
- Ограничить CORS под реальные домены приложения.
- Провести ревью хранения wellness-данных перед App Store и TestFlight-альфой.
Осторожная формулировка
Downshift не ставит диагнозы и не заменяет врача. Приложение помогает мягко понять свое состояние и выбрать практику саморегуляции на основе данных носимого устройства.