Безпека інтеграцій.

Правила, які не дозволяють API, webhooks, MCP або документації стати слабким місцем ресторану.

Security checklist

Кожна інтеграція має бути tenant-scoped, least-privilege, testable і відкличною без зупинки всього ресторану.

Secrets never in docs

Документація, screenshots, Postman і приклади використовують тільки lv_live_REPLACE_WITH_YOUR_API_KEY або інші placeholders.

Tenant isolation

Кожен API key привʼязаний до tenant. Foreign resource IDs мають fail closed, а не розширювати результат запиту.

Least privilege scopes

Ключ повинен мати мінімальні scopes. customers.read або write scopes не додаються в default keys без product justification.

Webhook SSRF protection

Webhook URL перевіряється перед збереженням і перед доставкою. Локальні, приватні й зарезервовані адреси блокуються.

No live try-it console

Публічний сайт може показувати OpenAPI JSON, але не має відкривати production try-it з живими ключами за замовчуванням.

Security review before write API

Будь-який write endpoint проходить окремий review: scopes, idempotency, abuse controls, audit log, rate limits і tests.

Повідомлення про вразливості
Якщо ви знайшли вразливість у public API, webhooks або Developer Portal, використовуйтеvulnerability disclosureзамість публічного розкриття деталей.

Сплануйте запуск ресторану без хаосу.

Покажемо Limvero на прикладі ресторану, схожого на ваш: точки, меню, POS, кухню, QR-меню, склад, лояльність і тарифи.

Запросити демо