# 安全说明

本仓库默认配置用于本地演示和项目复现，不适合直接暴露到公网。

## 演示账号

Docker 快照初始化后会提供演示账号：

```text
admin@example.com / change-me
```

生产环境必须修改默认密码，并替换 `AUTH_SECRET`。

## 密钥管理

不要提交以下内容：

- `.env`
- 数据库真实密码
- `AUTH_SECRET`
- LLM API Key
- 高德地图 Key
- Cookie、浏览器 profile 或登录态文件

`.env.example` 只保留可运行的示例值。

## 生产部署建议

- 使用 HTTPS 和反向代理。
- 不向公网暴露 PostgreSQL 和 FalkorDB 端口。
- 修改数据库账号、密码和默认管理员账号。
- 定期备份 PostgreSQL 与 FalkorDB 数据卷。
- 为 LLM、高德等外部服务配置最小权限密钥。
- 开启容器日志和异常监控。

## 报告问题

如果发现凭据泄露、越权访问或数据安全问题，请优先私下联系仓库维护者处理，再公开 issue。