Security
Yêu cầu bảo mật xem docs/requirements/07-SECURITY-REQUIREMENTS.md.
Authentication / Authorization
- Keycloak dùng cho IAM.
- API Gateway là điểm vào chính, có thể enforce auth/roles.
Secrets
- Không commit
.env.*chứa secrets (repo có.env.examplelàm template). - Trên CI/CD: dùng GitHub Actions secrets.
Hardening (baseline)
- Enable CORS allowlist (tuỳ môi trường)
- Helmet + request size limit (tuỳ service)