Jika Anda menemukan kerentanan keamanan pada project ini, mohon JANGAN membuat public issue.

Silakan laporkan secara privat ke:

• Email: rafapradana.com@gmail.com

Kami akan merespons dalam waktu 48 jam dan bekerja sama dengan Anda untuk memahami dan mengatasi masalah tersebut.

• Jangan pernah commit file .env ke repository
• Gunakan secret yang kuat untuk JWT_ACCESS_SECRET dan JWT_REFRESH_SECRET (minimal 32 karakter)
• Rotasi secret secara berkala di production

• Gunakan user database dengan privilege minimal
• Aktifkan SSL untuk koneksi database di production
• Backup database secara berkala

• Semua endpoint sensitif memerlukan autentikasi
• Rate limiting diaktifkan untuk mencegah abuse
• CORS dikonfigurasi dengan whitelist origin yang spesifik

• Access token memiliki expiry pendek (15 menit default)
• Refresh token disimpan di HttpOnly cookie
• Token blacklist untuk logout dan revocation
• Token family tracking untuk deteksi reuse attack