Secrets never in docs
Документація, screenshots, Postman і приклади використовують тільки lv_live_REPLACE_WITH_YOUR_API_KEY або інші placeholders.
Правила, які не дозволяють API, webhooks, MCP або документації стати слабким місцем ресторану.
Кожна інтеграція має бути tenant-scoped, least-privilege, testable і відкличною без зупинки всього ресторану.
Документація, screenshots, Postman і приклади використовують тільки lv_live_REPLACE_WITH_YOUR_API_KEY або інші placeholders.
Кожен API key привʼязаний до tenant. Foreign resource IDs мають fail closed, а не розширювати результат запиту.
Ключ повинен мати мінімальні scopes. customers.read або write scopes не додаються в default keys без product justification.
Webhook URL перевіряється перед збереженням і перед доставкою. Локальні, приватні й зарезервовані адреси блокуються.
Публічний сайт може показувати OpenAPI JSON, але не має відкривати production try-it з живими ключами за замовчуванням.
Будь-який write endpoint проходить окремий review: scopes, idempotency, abuse controls, audit log, rate limits і tests.
Покажемо Limvero на прикладі ресторану, схожого на ваш: точки, меню, POS, кухню, QR-меню, склад, лояльність і тарифи.