Security
Admin auth rollout
Безопасный чек-лист включения обязательного логина без риска заблокировать доступ.
Readiness checks
| check | status |
|---|---|
| active_admin_exists | ● fail |
| admin_has_project_access | ● fail |
| strong_session_secret | ● fail |
| enforcement_flag_set | ● fail |
active_admins=0
admins_with_project_access=0
enforced=False
Enable command
GURU_ADMIN_SESSION_SECRET=***
GURU_ADMIN_AUTH_ENFORCE=1
systemctl restart guru-send-web
Значение секрета не показываем. Перед включением обязательно проверьте Live login QA.
Live login QA
- Create at least one active admin user with access to the required project.
- Set a strong GURU_ADMIN_SESSION_SECRET with at least 24 characters.
- Test /admin/login with that user before enabling enforcement.
- Set GURU_ADMIN_AUTH_ENFORCE=1 in the service environment.
- Restart web service and verify unauthenticated /admin redirects to /admin/login.
- Login and verify project dashboard access plus forbidden access to unassigned projects.
После включения: без cookie /admin должен 303 → /admin/login, с валидным cookie должен открываться нужный проект.