feat: security audit fixes

.env.example

@@ -8,17 +8,19 @@ VAULT_JWT_KID_PATH=jwt/kid
 VAULT_JWT_KIDS_PREFIX=jwt/kids
 
 # CSRF загружается если указан путь (оставь пустым чтобы отключить CSRF)
-VAULT_CSRF_PATH=
+VAULT_CSRF_PATH=csrf
 
 # Crypto master-key для шифрования мнемоник юзеров (AES-256-GCM).
 # В Vault лежит hex-строка длиной 64 (32 байта).
 # Положить: vault kv put dev-secrets/crypto/master key=$(openssl rand -hex 32)
 VAULT_CRYPTO_KEY_PATH=crypto/master
 
-# ── JWT ────────────────────────────────────────────────────────────
-# Allowed: RS256 / RS384 / RS512 / ES256 / ES384 / ES512 / EdDSA / PS256 / PS384 / PS512
+# ── JWT (внешний bitok issuer) ─────────────────────────────────────
+# bitok-сервис подписывает JWT своим приватником, public key регистрируется
+# в Vault под kid'ом (см. VAULT_JWT_KIDS_PREFIX).
+# Allowed alg: RS256 / RS384 / RS512 / ES256 / ES384 / ES512 / EdDSA / PS256 / PS384 / PS512
 JWT_ALGORITHM=RS256
-JWT_ISSUER=auth-service
+JWT_ISSUER=bitok
 JWT_AUDIENCE=elcsa
 
 # ── Server ─────────────────────────────────────────────────────────
@@ -31,7 +33,7 @@ LOG_LEVEL=INFO
 CORS_ORIGINS=
 CORS_ALLOW_CREDENTIALS=true
 
-# ── External API keys (optional, fallback if Vault doesn't provide) ─
+# ── External API keys (optional, fallback если Vault их не выдаёт) ─
 RELAY_API_KEY=
 TRON_API_KEY=
 JUPITER_API_KEY=