# KBChatMQ SDK — an toàn khi tích hợp

## Nguyên tắc

1. **Không** đưa vào mã nguồn / repo ứng dụng: mật khẩu user, **user token**, **device token**, **website token**, **admin token**, `encryptKey` room, JWT MQTT, hay bất kỳ khóa mã hóa nào từ Hub.
2. **Chỉ** cấu hình **URL Hub** (ví dụ `https://chat.example.com`) — có thể là biến môi trường hoặc file cấu hình **không** commit secret.
3. **Lấy thông tin nhạy cảm từ phản hồi API** sau khi xác thực (`POST /api/auth/login`, `login-token`, `login-device`, …), rồi lưu **an toàn trên thiết bị** (Keychain / Keystore / encrypted prefs), không log ra console production.
4. SDK trong repo Hub chỉ là **lớp gọi HTTP** + hướng dẫn; **không** chứa credential của bạn hay của khách hàng.

## Kiểm tra trước khi phát hành app

- [ ] Không có hard-code token/password trong binary / JS bundle / APK.
- [ ] HTTPS cho mọi gọi API production.
- [ ] MQTT: password = JWT ngắn hạn; refresh trước khi hết hạn (`/api/auth/refresh`, `/api/auth/refresh-device`).

## Báo lỗi bảo mật

Liên hệ maintainer dự án KBChatMQ / ChatAI theo kênh nội bộ của bạn; không đăng token lên issue công khai.