[0.9.28] - 2025-09-28

### 🍪 CRITICAL Cross-Origin Auth
- **🔧 SESSION_COOKIE_DOMAIN**: Добавлена поддержка поддоменов `.discours.io` для cross-origin cookies
- **🌐 Cross-Origin SSE**: Исправлена работа Server-Sent Events с httpOnly cookies между поддоменами
- **🔐 Unified Auth**: Унифицированы настройки cookies для OAuth, login, refresh, logout операций
- **📝 MyPy Compliance**: Исправлена типизация `SESSION_COOKIE_SAMESITE` с использованием `cast()`

### 🛠️ Technical Changes
- **settings.py**: Добавлен `SESSION_COOKIE_DOMAIN` с типобезопасной настройкой SameSite
- **auth/oauth.py**: Обновлены все `set_cookie` вызовы с `domain` параметром
- **auth/middleware.py**: Добавлена поддержка `SESSION_COOKIE_DOMAIN` в logout операциях
- **resolvers/auth.py**: Унифицированы cookie настройки в login/refresh/logout resolvers
- **auth/__init__.py**: Обновлены cookie операции с domain поддержкой

### 📚 Documentation
- **docs/auth/sse-httponly-integration.md**: Новая документация по SSE + httpOnly cookies интеграции
- **docs/auth/architecture.md**: Обновлены диаграммы для unified httpOnly cookie архитектуры

### 🎯 Impact
- ✅ **GraphQL API** (`v3.discours.io`) теперь работает с httpOnly cookies cross-origin
- ✅ **SSE сервер** (`connect.discours.io`) работает с теми же cookies
- ✅ **Безопасность**: httpOnly cookies защищают от XSS атак
- ✅ **UX**: Автоматическая аутентификация без управления токенами в JavaScript

CHANGELOG.md

@@ -1,6 +1,29 @@
 # Changelog
 
-## [0.9.28] - OAuth/Auth with httpOnly cookie
+## [0.9.28] - 2025-09-28
+
+### 🍪 CRITICAL Cross-Origin Auth
+- **🔧 SESSION_COOKIE_DOMAIN**: Добавлена поддержка поддоменов `.discours.io` для cross-origin cookies
+- **🌐 Cross-Origin SSE**: Исправлена работа Server-Sent Events с httpOnly cookies между поддоменами  
+- **🔐 Unified Auth**: Унифицированы настройки cookies для OAuth, login, refresh, logout операций
+- **📝 MyPy Compliance**: Исправлена типизация `SESSION_COOKIE_SAMESITE` с использованием `cast()`
+
+### 🛠️ Technical Changes
+- **settings.py**: Добавлен `SESSION_COOKIE_DOMAIN` с типобезопасной настройкой SameSite
+- **auth/oauth.py**: Обновлены все `set_cookie` вызовы с `domain` параметром
+- **auth/middleware.py**: Добавлена поддержка `SESSION_COOKIE_DOMAIN` в logout операциях
+- **resolvers/auth.py**: Унифицированы cookie настройки в login/refresh/logout resolvers
+- **auth/__init__.py**: Обновлены cookie операции с domain поддержкой
+
+### 📚 Documentation  
+- **docs/auth/sse-httponly-integration.md**: Новая документация по SSE + httpOnly cookies интеграции
+- **docs/auth/architecture.md**: Обновлены диаграммы для unified httpOnly cookie архитектуры
+
+### 🎯 Impact
+- ✅ **GraphQL API** (`v3.discours.io`) теперь работает с httpOnly cookies cross-origin
+- ✅ **SSE сервер** (`connect.discours.io`) работает с теми же cookies  
+- ✅ **Безопасность**: httpOnly cookies защищают от XSS атак
+- ✅ **UX**: Автоматическая аутентификация без управления токенами в JavaScript
 
 ## [0.9.27] - 2025-09-25