diff --git a/migration.md b/migration.md
index e8dc772..d23a659 100644
--- a/migration.md
+++ b/migration.md
@@ -383,3 +383,7 @@ Rekomendowana metoda dla `trade`: **Traefik `basicAuth` na Ingress (Middleware)*
 5) Utrzymanie:
    - dodanie/usunięcie usera = update secreta (`htpasswd`) + rollout (bez zmian w kodzie),
    - docelowo przenieść sekrety do GitOps (np. SOPS/SealedSecrets/ExternalSecrets).
+
+### Status (trade)
+
+- `trade-staging` ma wdrożone logowanie na Ingress (Traefik `basicAuth`) oraz wyłączony wbudowany basic auth w `trade-frontend` (`BASIC_AUTH_MODE=off`).
diff --git a/steps.md b/steps.md
index 587b318..132977e 100644
--- a/steps.md
+++ b/steps.md
@@ -234,3 +234,11 @@ Uwaga: **nie zapisuję sekretów** (hasła, tokeny, prywatne klucze) – jeśli
 - Decyzja: logowanie wdrażamy tylko dla `trade`; pozostałe serwisy zostają z własnymi loginami.
 - Wybrano metodę dla `trade`: Traefik `basicAuth` na Ingress (Middleware).
 - Plan wdrożenia opisany w `migration.md` (sekcja „Dostęp i logowanie”).
+
+### Logowanie do `trade` (Traefik basicAuth) – wdrożenie
+- Utworzono `Secret/trade-basic-auth` w `trade-staging` (format `htpasswd` w kluczu `users`) z userami: `admin`, `mpabi`, `mkost33` (bez logowania haseł).
+- Dodano `Middleware/trade-basic-auth` (Traefik CRD) i podpięto do `Ingress/trade-frontend` adnotacją `traefik.ingress.kubernetes.io/router.middlewares`.
+- Zaktualizowano `trade-frontend`:
+  - dodano `BASIC_AUTH_MODE=off` (wyłącza wbudowany basic auth w aplikacji),
+  - wdrożono nowy obraz `rv32i.pl/trade/trade-frontend:sha-8217bae`.
+- Weryfikacja: `https://trade.rv32i.pl` zwraca `401` z basic auth (Traefik), a pod `trade-frontend` loguje `basicAuthMode: "off"`.