Checklist production

Avant d'exposer votre instance pipel8ne aux utilisateurs, vérifiez ces points.

Sécurité

• [ ] JWT_SECRET est une longue chaîne aléatoire (64+ caractères hex, pas un placeholder)
• [ ] SECRETS_ENCRYPTION_KEY fait exactement 32 octets (64 caractères hex)
• [ ] Les deux secrets sont sauvegardés dans un endroit sécurisé (gestionnaire de mots de passe)
• [ ] Aucun secret n'est commité dans le contrôle de version
• [ ] L'authentification MongoDB est activée
• [ ] MongoDB n'est pas exposé publiquement (bind sur localhost ou réseau interne Docker)
• [ ] HTTPS est configuré via un reverse proxy avec un certificat TLS valide
• [ ] NODE_ENV=production est défini (désactive Swagger UI)
• [ ] L'inscription publique est désactivée après la création des comptes de votre équipe

Fiabilité

• [ ] Sauvegardes MongoDB automatisées planifiées
• [ ] Le backend est géré par un gestionnaire de processus (PM2, systemd, politique de redémarrage Docker)
• [ ] Vérification de santé : curl http://localhost:3000/api/auth/registration-status

Réseau

• [ ] Règles de pare-feu — seuls les ports 80 et 443 sont exposés à Internet
• [ ] Le port MongoDB 27017 est bloqué depuis l'extérieur

Architecture recommandée