Add X-API-TOKEN deprecation

content/documentation/admin/architecture/high-level-architecture.ru.md

@@ -65,8 +65,8 @@ DDP обеспечивает единый доступ к инструмента
 **Протокол доступа:** HTTPS (TCP/443)
 
 **Аутентификация:**
-- Через JWT токен доступа, полученный от Dex (заголовок `Authorization: Bearer <token>`)
-- Через API ключ (для программного доступа)
+- Браузер: сессия по httpOnly cookie (JWT от Dex).
+- Программный доступ: API-токен из раздела «Профиль», заголовок `Authorization: Bearer <api_token>`.
 
 REST API предоставляет полный набор функций для управления всеми объектами платформы: сущностями, ресурсами, действиями, источниками данных, виджетами, процессами и другими компонентами.
 

content/documentation/release-notes/v1.4.0.ru.md

@@ -9,6 +9,8 @@ weight: 930
 
 ## Несовместимые изменения
 
+При доступе к DDP через API или MCP заголовок `X-API-TOKEN` больше не поддерживается. Используйте заголовок `Authorization: Bearer <API-TOKEN>`.
+
 Для работы поиска по сущностям требуется расширение PostgreSQL `pg_trgm`.
 
 Включите его, выполнив в базе данных команду:
@@ -37,6 +39,10 @@ CREATE EXTENSION IF NOT EXISTS pg_trgm;
 
 - **Wait** — добавлено действие для паузы на заданное время ([подробнее](../../admin/actions/types/#wait)).
 
+## Безопасность
+
+- Access и refresh-токены сессии пользователя больше не хранятся в local storage браузера: они передаются только через httpOnly cookie, что снижает риск утечки токенов при XSS.
+
 ## Улучшения интерфейса
 
 - Добавлена возможность создания нового виджета непосредственно из окна редактирования дашборда.

content/documentation/user/mcp-server.ru.md

@@ -123,7 +123,7 @@ MCP — это открытый протокол для взаимодейств
 1. **Получение параметров**
 
    - Войдите в Deckhouse Development Platform.
-   - Получите ваш API-токен в разделе настроек профиля.
+   - Получите ваш API-токен в разделе «Профиль».
    - Запишите URL вашей платформы (например: `https://ddp.example.com`).
 
 1. **Настройка в LM Studio**
@@ -142,9 +142,9 @@ MCP — это открытый протокол для взаимодейств
      - Замените `ddp.example.com` на адрес вашей платформы.
    - **Transport**: `HTTP` или `JSON-RPC`.
    - **Authentication**:
-     - **Type**: `Custom Header` или `API Key`.
-     - **Header Name**: `X-API-TOKEN`.
-     - **Token**: вставьте ваш API-токен от платформы.
+     - **Type**: `Bearer Token` или аналог (заголовок `Authorization`).
+     - **Header**: `Authorization: Bearer <ваш_api_токен>`.
+     - **Token**: вставьте ваш API-токен от платформы (из раздела «Профиль»).
 
 1. **Проверка подключения**
 
@@ -170,16 +170,16 @@ MCP-сервер Deckhouse Development Platform совместим с любым
 1. **URL эндпоинта**: `https://your-platform.com/api/v2/mcp`.
 1. **Протокол**: JSON-RPC 2.0.
 1. **Аутентификация**:
-   - Заголовок: `X-API-TOKEN: YOUR_API_TOKEN`.
-   - Где `YOUR_API_TOKEN` — ваш API-токен от платформы.
+   - Заголовок: `Authorization: Bearer YOUR_API_TOKEN`.
+   - Где `YOUR_API_TOKEN` — ваш API-токен от платформы (раздел «Профиль»).
 1. **Метод**: POST.
 
 ### Пример запроса к MCP-серверу
 
 **HTTP-заголовки:**
 
 ```sh
-X-API-TOKEN: your-api-token-here
+Authorization: Bearer your-api-token-here
 Content-Type: application/json
 ```
 
@@ -220,7 +220,7 @@ Content-Type: application/json
 
 ### Аутентификация
 
-- Все запросы к MCP-серверу должны быть аутентифицированы с помощью API-токена из вашего профиля. Токен передается через заголовок `X-API-TOKEN: TOKEN`.
+- Все запросы к MCP-серверу должны быть аутентифицированы с помощью API-токена из раздела «Профиль». Токен передаётся в заголовке `Authorization: Bearer <api_token>`.
 - Права доступа соответствуют правам вашего пользователя в платформе.
 
 ### Права доступа
@@ -241,8 +241,8 @@ Content-Type: application/json
 ### Ошибка аутентификации
 
 - Проверьте правильность формата токена.
-- Убедитесь, что токен не истек.
-- Убедитесь, что используется заголовок `X-API-TOKEN` (не `Authorization`).
+- Убедитесь, что токен не истёк.
+- Убедитесь, что используется заголовок `Authorization: Bearer <api_token>`.
 
 ### Инструмент возвращает ошибку доступа