80 lines
3.9 KiB
Plaintext
80 lines
3.9 KiB
Plaintext
# ── Vault (AppRole) ────────────────────────────────────────────────
|
||
VAULT_ADDR=
|
||
VAULT_ROLE_ID=
|
||
VAULT_SECRET_ID=
|
||
VAULT_MOUNT_POINT=dev-secrets
|
||
VAULT_SECRET_PATH=database
|
||
VAULT_JWT_KID_PATH=jwt/kid
|
||
VAULT_JWT_KIDS_PREFIX=jwt/kids
|
||
|
||
# CSRF загружается если указан путь (оставь пустым чтобы отключить CSRF)
|
||
VAULT_CSRF_PATH=csrf
|
||
|
||
# Crypto master-key для шифрования мнемоник юзеров (AES-256-GCM).
|
||
# В Vault лежит hex-строка длиной 64 (32 байта).
|
||
# Положить: vault kv put dev-secrets/crypto/master key=$(openssl rand -hex 32)
|
||
VAULT_CRYPTO_KEY_PATH=crypto/master
|
||
|
||
# ── JWT (внешний bitok issuer) ─────────────────────────────────────
|
||
# bitok-сервис подписывает JWT своим приватником, public key регистрируется
|
||
# в Vault под kid'ом (см. VAULT_JWT_KIDS_PREFIX).
|
||
# Allowed alg: RS256 / RS384 / RS512 / ES256 / ES384 / ES512 / EdDSA / PS256 / PS384 / PS512
|
||
JWT_ALGORITHM=RS256
|
||
JWT_ISSUER=bitok
|
||
JWT_AUDIENCE=elcsa
|
||
|
||
# ── Server ─────────────────────────────────────────────────────────
|
||
API_PORT=3001
|
||
LOG_LEVEL=INFO
|
||
|
||
# ── KeyDB / Redis (idempotency cache) ──────────────────────────────
|
||
# REDIS_PASSWORD also used by docker-compose to seed KeyDB --requirepass.
|
||
REDIS_HOST=keydb
|
||
REDIS_PORT=6379
|
||
REDIS_PASSWORD=
|
||
REDIS_DB=0
|
||
|
||
# ── CORS ────────────────────────────────────────────────────────────
|
||
# Comma-separated list of allowed origins, OR "*" для wildcard (dev/staging).
|
||
# ПУСТО = no cross-origin (fail-secure).
|
||
# Wildcard incompatible с CORS_ALLOW_CREDENTIALS=true (browser spec — credentials force=false).
|
||
# Production: явный whitelist для security (XSS на любом сайте не сможет дёрнуть API).
|
||
# Whitelist: CORS_ORIGINS=https://app.example.com,https://www.example.com
|
||
# Wildcard: CORS_ORIGINS=*
|
||
CORS_ORIGINS=
|
||
CORS_ALLOW_CREDENTIALS=true
|
||
|
||
# ── External API keys (optional, fallback если Vault их не выдаёт) ─
|
||
RELAY_API_KEY=
|
||
TRON_API_KEY=
|
||
JUPITER_API_KEY=
|
||
JUPITER_REFERRAL_ACCOUNT=
|
||
JUPITER_FEE_BPS=70
|
||
|
||
# ── Block explorers (optional, для tx history) ─────────────────────
|
||
ETHERSCAN_API_KEY=
|
||
BSCSCAN_API_KEY=
|
||
|
||
# ── Price oracle (optional) ─────────────────────────────────────────
|
||
# CoinGecko Demo API key. Без ключа работает free tier (~10-30 req/min).
|
||
# Если задан → передаётся через header `x-cg-demo-api-key`.
|
||
# Используется в /api/wallets/{chain}/balance (для usdPrice/usdValue)
|
||
# и /api/prices?symbols=... KeyDB cache: 5 минут.
|
||
COINGECKO_API_KEY=
|
||
|
||
# ── Outbound proxy для swap + bridge (optional) ─────────────────────
|
||
# Если задан — все calls к Jupiter / Relay / EVM RPC / Solana RPC / TronGrid
|
||
# из swap-orchestrator (custodial /wallets/{chain}/swap), relay-proxy
|
||
# (/api/relay/*), sign-raw-evm-tx, sign-and-broadcast-tx идут через
|
||
# этот HTTP proxy (squid-style). Read-only endpoints (/balance,
|
||
# /transactions, /send, /prices) идут direct.
|
||
# Format: http://[user:pass@]host:port (HTTPS proxy: https:// prefix)
|
||
OUTBOUND_PROXY_URL=
|
||
|
||
# ── DB fallback (если Vault недоступен при старте) ─────────────────
|
||
DB_HOST=
|
||
DB_PORT=5432
|
||
DB_USER=
|
||
DB_PASSWORD=
|
||
DB_NAME=
|