# Cards-Production-Env-Skeleton. Auf dem Mac Mini liegt die echte
# `.env.production` mit den richtigen Secrets — diese Datei ist nur
# das Template (committet, ohne Secrets).
#
# Generiere die Secrets z.B. mit `openssl rand -hex 32`.

CARDS_DB_PASSWORD=change-me-strong-random
CARDS_S3_SECRET_KEY=change-me-32-bytes-base64
CARDS_DSGVO_SERVICE_KEY=change-me-msk-prefix
CARDS_API_VERSION=1.0.0

# Fail-secure: in Produktion MUSS dieser Wert 'false' bleiben (oder die
# Variable ganz weggelassen werden — der Compose-Default ist 'false').
# Nur für gezielte Diagnose temporär auf 'true' setzen und sofort
# wieder zurückstellen. Wenn 'true' aktiv ist, akzeptiert die API
# `X-User-Id`-Header als vollwertige Auth (founder-Tier).
CARDS_AUTH_DEV_STUB=false

# Verdaccio-Token für @mana/* — nutze denselben claudebot-Token, den
# auch die Plattform verwendet (siehe ~/.cloudflared/.npmrc oder
# secret_verdaccio_claudebot.md).
NPM_AUTH_TOKEN=