Nginx не отдаёт чувствительные маршруты без валидной session cookie от локального auth-service.
app.sharypov.com
Здесь больше нет публичного доступа к dashboard, live state или control ingress. Домен работает как защищённый вход в операторский контур: Telegram Mini App, серверная admin-проверка и приватная session cookie на app-домене.
Если вы вошли как админ через бота, будет создана закрытая operator session для private routes.
Nginx не отдаёт чувствительные маршруты без валидной session cookie от локального auth-service.
Mini App передаёт initData, подпись Telegram проверяется на сервере, allowlist применяется до входа.
Обычный браузер видит только обзорную витрину. Control, state и console извне не раскрываются.