У PhotoVerifcator на production срочно докрутили backend hardening после того, как стало слишком очевидно: публичные дыры в API живут веселее, чем нам бы хотелось. Так что здесь без корпоративного лака — это именно аварийный security rollout.

Внешние Swagger/OpenAPI маршруты выключены, анонимный /register больше не позволяет создавать пользователей без авторизации, а само создание аккаунтов переведено в защищённый admin-only flow. Заодно прикрыли ряд технических маршрутов — document_tools, Telegram integration и YOLO proxy — там, где раньше защита была скорее философской, чем реальной.

Изменение затронуло backend и фронтовые surfaces управления пользователями. После выката production должен выглядеть скучнее, а это в данном случае отличный комплимент.

  • /api/docs и /api/openapi.json теперь отдают 404
  • анонимный POST /api/register теперь получает 401
  • создание пользователей переведено в admin-only flow
  • закрыты лишние технические маршруты без нормальной защиты
  • smoke-check: /api/health → 200