Доверие
Контроль доступа без security-theatre
Описываем то, что реализовано в продукте: как устроены сессии, токены площадок, роли и журнал действий — без обещаний «военной сертификации».
Сессии кабинета
Вход по email и паролю (bcrypt). API защищён JWT HS256. Сброс пароля — одноразовый токен с TTL; soft email verification не блокирует работу.
Что это значит: украденный пароль меняется ссылкой; сессия не хранит секреты площадок в браузере.
Токены площадок
OAuth Google/Яндекс (и Директ при флаге) — AES-GCM (TOKEN_ENC_KEY).
Переподключение сбрасывает отозванный или повреждённый токен.
Что это значит: access/refresh не лежат в открытом виде в БД.
Роли и команда
Membership: owner и manager. Invite по email с принятием в кабинете. Удаление организации и критичные настройки — у владельца.
Что это значит: агентство работает в том же контуре, что и владелец, с явной ролью.
Audit log
Регистрация, CRUD org, discover/match, ответы, контент, команда, ads — фиксируются для разбора «кто что сделал».
Что это значит: прозрачность для сети филиалов и подрядчика.
Роли и журнал
Сцена — иллюстрация контура, не скриншот кабинета. Демо inbox: на главной.
-
Публичные документы
Политика конфиденциальности и Пользовательское соглашение — для пользователей и для OAuth verification / 152-ФЗ.
-
Честные границы
Не гарантируем рост рейтинга и не публикуем ответы без ваших правил и approve. Live внешних API зависит от квот и партнёрских доступов. Матрица — на странице площадок.
-
Health без секретов
Публичный /health показывает статус БД и очередей без токенов и PII — для мониторинга, не для разведки.
-
Site Lab и лиды
Форма на витрине шлёт заявки в кабинет через публичный API с honeypot и rate-limit. HTML сайтов на
sites.bizhub.com.ru— без JWT; секреты org там не хранятся. Пример: demo-site-lab.
Создать аккаунт
Дальше — организация и подключение площадок под вашим контролем.
Создать аккаунт Политика