# Accéder à l'app

# Accéder à l'app

> _Dernière mise à jour : 2026-05-10_

## URLs

- **Prod** : <https://rules.thymon.fr>
- **LAN direct** (sans passer par NPM) : `http://192.168.10.100:3000` — utile pour debug si NPM tombe

## Login

1. Va sur `/login`.
2. Username + password.
3. Cookie de session valide 7 jours, HTTP-only, SameSite=Lax.

Rate-limit : 5 tentatives ratées par IP avant 15 min de cooldown. Si tu te bloques, attends 15 min ou redémarre le container (la map en mémoire se reset).

## Premier admin (au boot)

Au tout premier démarrage du container, l'app crée automatiquement un admin avec les credentials des env vars `FIRST_ADMIN_USERNAME` + `FIRST_ADMIN_PASSWORD`. Tu peux ensuite changer le mot de passe via `/me`.

## Pas de token API

Pas d'auth header bearer, tout passe par cookie de session. Si tu veux scripter des appels (ex. depuis un cron), tu dois te login via `POST /api/auth/login` et conserver le cookie.

## Si tu vois `pending` après login

Tu es en attente de validation admin. Va sur `/admin` (avec un compte admin) → `Utilisateurs` → bouton `Confirmer`. Sinon Telegram / IRL me ping.