Sécurité
- Sessions médecin : cookies host-only (pas de
Domain=.shifai.ma). TTL absolu + idle + sticky — voir configuration session. - Assistant vocal : extract-only — aucune écriture métier sans confirmation du médecin.
- API booking : clé secrète côté serveur vitrine, comparaison à temps constant, rate limiting sur endpoints publics.
- SQLite multi-utilisateur : WAL + busy_timeout sur le volume Fly ; un seul writer machine (pas de multi-region SQLite).
- URLs patients :
publicRef opaque dans l’UI ; le cuid reste en base pour les clés étrangères.