diff --git a/doc/workflow.md b/doc/workflow.md
index f032a63..f43f09b 100644
--- a/doc/workflow.md
+++ b/doc/workflow.md
@@ -33,7 +33,7 @@ Cel: **zero ręcznych zmian na VPS**, każdy deploy jest **snapshoot’em**, do
 4) Argo CD (auto-sync na staging) wdraża nowy snapshot w `trade-staging`.
 5) Test na VPS:
    - API: `/healthz`, `/v1/ticks`, `/v1/chart`
-   - UI: `trade.rv32i.pl`
+   - UI: `trade.mpabi.pl`
    - Ingest: logi `trade-ingestor` + napływ ticków do tabeli.
 
 ## Snapshoty i rollback (playbook)
@@ -74,22 +74,23 @@ docker compose -f devops/app/docker-compose.yml --profile ingest up -d --build
 
 ### Frontend dev (Vite) z backendem na VPS (staging)
 
-Jeśli chcesz szybko iterować nad UI bez deploya, możesz odpalić lokalny Vite i podpiąć go do backendu na VPS przez istniejący proxy `/api` na `trade.rv32i.pl`.
+Jeśli chcesz szybko iterować nad UI bez deploya, możesz odpalić lokalny Vite i podpiąć go do backendu na VPS przez istniejący proxy `/api` na `trade.mpabi.pl`.
 
 - Vite trzyma `VITE_API_URL=/api` (default) i proxy’uje `/api/*` do VPS.
+- Auth w staging jest w trybie `session` (`/auth/login`, cookie `trade_session`), więc w dev proxy’ujemy też `/whoami`, `/auth/*`, `/logout`.
+- Dev proxy usuwa `Secure` z `Set-Cookie`, żeby cookie działało na `http://localhost:5173`.
 - Na VPS `trade-frontend` proxy’uje dalej do `trade-api` i wstrzykuje read-token **server-side** (token nie trafia do przeglądarki).
 
 Przykład:
 
 ```bash
 cd apps/visualizer
-API_PROXY_TARGET=https://trade.rv32i.pl/api \
-API_PROXY_BASIC_AUTH='USER:PASS' \
+API_PROXY_TARGET=https://trade.mpabi.pl \
 npm run dev
 ```
 
-Alternatywnie dla basic auth możesz użyć pliku JSON:
-`API_PROXY_BASIC_AUTH_FILE=tokens/frontend.json` (pola `username`/`password`).
+Jeśli staging ma dodatkowy basic auth (np. Traefik `basicAuth`), dodaj:
+`API_PROXY_BASIC_AUTH='USER:PASS'` albo `API_PROXY_BASIC_AUTH_FILE=tokens/frontend.json` (pola `username`/`password`).
 
 ## Definicja “done” dla zmiany