From 744847661de622793d74a50f2d8cf8c92d96b428 Mon Sep 17 00:00:00 2001
From: nns <nns@edocs.kz>
Date: Wed, 27 May 2026 02:47:12 +0500
Subject: [PATCH] docs(sprint1): P0-1 done

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
---
 docs/sprint1-progress.md | 6 +++++-
 1 file changed, 5 insertions(+), 1 deletion(-)

diff --git a/docs/sprint1-progress.md b/docs/sprint1-progress.md
index b1db4b0..a7fa343 100644
--- a/docs/sprint1-progress.md
+++ b/docs/sprint1-progress.md
@@ -30,8 +30,12 @@
    оставлены SuperAdmin — глобальный справочник). Закрывает «роли — фикция» из аудита.
    Проверка: curl на :5091 (403/200/400) + e2e `roles` step08 — зелёный 8/8.
    Rate-limit стал конфигурируемым (`RateLimiting:*`) — иначе повторные логины тестов → 429.
-4. [ ] **P0-1 OpenIddict prod-ключи** — signing+encryption сертификаты из пути в конфиге,
+4. [x] **P0-1 OpenIddict prod-ключи** — signing+encryption сертификаты из пути в конфиге,
    persistent self-signed если файла нет. Dev-поведение не ломать. Документировать.
+   ✅ `OpenIddictKeyConfigurator`: dev RSA-XML (без изменений), prod X509 из
+   `OpenIddict:SigningCertPath`/`EncryptionCertPath`/`CertPassword`, self-signed (5 лет) в
+   App_Data при отсутствии. Проверено: prod 5-сегм. JWE, persist через рестарт (тот же
+   fingerprint, pre-restart токен валиден); dev 3-сегм. JWT. `docs/openiddict-keys.md`.
 5. [ ] **P0-6 Авто-бэкап** — `deploy/food-market-backup.service` + `.timer`, скрипт
    backup+ротация 30 дней, `docs/backup-restore.md`. Только артефакты в репо.
 6. [ ] **P0-8** — `deploy/.env.example` + `docs/secrets.md`.