1.0.1

✅ Principales modifs

• Anti-401 / clé masquée

  • Ajout de isMaskedKey() ; on n’utilise plus jamais ******** dans les requêtes.
  • keyParams() ignore la clé si masquée.
  • fetchSettings() remplace une clé masquée par '' côté front (pas de fuite, pas de réutilisation).

• Sauvegarde des réglages

  • onSaveSettings() n’envoie api_key que si l’utilisateur saisit une vraie valeur (évite d’écraser la clé serveur avec ********).
  • À l’ouverture des réglages, l’input clé est vide avec placeholder ******** (UI non-destructive).

• Session côté serveur (option)

  • Nouveau flux session-first : tryStartSessionWithApiKey() appelle POST /auth/login (body { api_key }) pour obtenir un cookie de session.
  • Ajout de sessionActive et des requêtes fetchJSON() avec credentials: 'include'.
  • Fallback auto : en cas de 401, réessai avec clé en query (si session inactive et clé dispo).

• Wrapper réseau unifié

  • Nouveau fetchJSON() : gère (session → fallback clé), JSON, erreurs, en-têtes, et paramètres.

• Endpoints existants

  • Tous les appels (/status, /metrics/*, /images/*, /update_container) passent par fetchJSON() et n’ajoutent plus la clé si une session est active.

• I18N

  • Ajout de deux clés : settings_saved, gen_failed.

🔐 Sécurité & confidentialité

• La clé API n’est plus pré-remplie ni stockée en clair dans l’UI.
• Priorité à la session cookie HttpOnly (évite d’exposer la clé dans les URLs/logs).
• Fallback maintenu pour compatibilité avec serveurs sans /auth/login.

1.0.0

Initial commit