# Ключи и секреты в Timeweb — куда что вставлять

**Зачем это.** Все пароли, ключи и токены мы НЕ храним в коде и не пишем в репозиторий —
их место в «переменных окружения» приложения в Timeweb (это защищённое хранилище пар
`ИМЯ=значение`, которое видит только запущенное приложение). Ниже — куда их добавлять и
полный список того, что нужно.

> Термин: **переменная окружения** — настройка вида `ИМЯ=значение`, которую приложение
> читает при запуске. Секреты (пароли/ключи) держат именно так, а не в коде.

---

## Куда добавлять (общий путь)

1. Timeweb Cloud → раздел **«Приложения»** → откройте приложение **SEKTA ATLAS**.
2. Вкладка **«Переменные»** (Environment variables / «Переменные окружения»).
3. Кнопка **«Добавить переменную»** → впишите **Имя** (латиницей, точно как в таблице ниже)
   и **Значение** → сохраните.
4. После добавления/изменения переменных нажмите **«Пересобрать / Redeploy»** (или дождитесь
   автодеплоя) — переменные подхватываются при новой сборке.

> Правило: значения-секреты присылайте мне защищённо (личным сообщением), а не в общий чат.
> Я подскажу точные значения для служебных (например, флаги), а «настоящие» секреты
> (пароли, ключи сервисов) добавляете вы.

---

## Что нужно сейчас / скоро

### Безопасность (сделать до реальных данных)
| Имя | Что это | Значение |
|---|---|---|
| `AUTH_SECRET` | Секрет для подписи входа (cookie). Сейчас дефолтный — небезопасно на проде. | Длинная случайная строка (30+ символов). Могу сгенерировать. |
| `BASIC_AUTH_USER` | Логин основного портала (сейчас admin). | Ваш логин. |
| `BASIC_AUTH_PASS` | Пароль основного портала (сейчас admin). | Сильный пароль. |

### Технический субдомен tech.* (когда поднимется SSL)
| Имя | Что это | Значение |
|---|---|---|
| `TECH_SUBDOMAIN` | Включает разделение: служебное уезжает на tech.* | `1` (скажите «включай служебку» — выставлю). |
| `TECH_AUTH_USER` | Логин технической админки (отдельный от основного). | Ваш логин (иначе admin). |
| `TECH_AUTH_PASS` | Пароль технической админки. | Отдельный сильный пароль (иначе admin). |

### Кабинет руководителя — письма с кодом (SMTP)
Подробно как получить — в гайде «SMTP — письма с кодом входа».
| Имя | Что это |
|---|---|
| `SMTP_HOST` | Адрес почтового сервера |
| `SMTP_PORT` | Порт (обычно 465 или 587) |
| `SMTP_USER` | Логин почты |
| `SMTP_PASS` | Пароль/пароль приложения |
| `SMTP_FROM` | Адрес отправителя (от кого письмо) |

После добавления SMTP — включаю гейт кабинета переменной `EXEC_OTP_ENFORCE=1`.

### Вход через соцсети (OAuth) — по мере регистрации
Как получить ключи — в гайде «Вход через Яндекс / VK / Bitrix24». Имена переменных, которые
я пропишу (значения — от вас):
| Имя | Что это |
|---|---|
| `OAUTH_YANDEX_ID` / `OAUTH_YANDEX_SECRET` | Ключи приложения Яндекса |
| `OAUTH_VK_ID` / `OAUTH_VK_SECRET` | Ключи приложения VK |
| `OAUTH_BITRIX_ID` / `OAUTH_BITRIX_SECRET` / `OAUTH_BITRIX_PORTAL` | Ключи + адрес вашего Bitrix24 |
| `APP_BASE_URL` | Базовый адрес для возврата после входа: `https://sekta-atlas.ru` |

### Яндекс.Карты (для карты партнёров)
Как получить — в гайде «Яндекс.Карты — ключ».
| Имя | Что это |
|---|---|
| `YANDEX_MAPS_API_KEY` | Ключ JavaScript API Яндекс.Карт |

---

## Что уже настроено (трогать не нужно)
- `POSTGRESQL_*` — доступ к базе данных (подключено).
- `BITRIX24_WEBHOOK_URL` — вебхук Bitrix24 для синхронизации партнёров (подключено).
- `SALONS_PRODUCTS_SHEET_ID` / `SALONS_PRODUCTS_GID` — Google-таблица каталога (подключено).

Если чего-то из «уже настроено» не окажется — скажите, добавим по тому же пути.
