Registration Tokens kontrollieren, ohne offenes Admin-API.
Das Dashboard spricht mit der Synapse Admin API, aber das Login ist separat abgesichert: Passwort-Hash, HttpOnly Session-Cookie und persistente Brute-Force-Bremse pro IP.
Login
Nur für Admin-Zugriff. Fehlversuche werden dauerhaft verlangsamt und blockiert.