Sécurité

  • Sessions médecin : cookies host-only (pas de Domain=.shifai.ma). TTL absolu + idle + sticky — voir configuration session.
  • Assistant vocal : extract-only — aucune écriture métier sans confirmation du médecin.
  • API booking : clé secrète côté serveur vitrine, comparaison à temps constant, rate limiting sur endpoints publics.
  • SQLite multi-utilisateur : WAL + busy_timeout sur le volume Fly ; un seul writer machine (pas de multi-region SQLite).
  • URLs patients : publicRef opaque dans l’UI ; le cuid reste en base pour les clés étrangères.