Skip to content
- Renouveler le token si soupçon de fuite (commit, copie dans un canal Slack, etc.) : modifier
ADMIN_API_TOKEN et redéployer suffit, il n’y a aucun état en DB.
- Allowlist IP au reverse-proxy (nginx, Caddy) sur le chemin
/admin/ : recommandé en prod, à coupler avec le token. Le token seul est OK pour un dev local.
- Logs HTTP : nginx/Caddy logguent déjà la route et l’IP. Le token n’apparaît jamais dans les logs car il est lu depuis le header
Authorization que les access logs n’enregistrent pas par défaut.
- Pas de session, pas de XP, pas de notif : un appel admin ne génère aucun side-effect métier au-delà de la tâche demandée (indexation Meili, dans le cas présent).