MAX-бот не должен быть вторым входом в кабинет. Его правильная роль — принять обращение клиента, определить профиль мастера по ссылке или настройке проекта и создать лид внутри CRM.
Доступ к заявкам остается за авторизацией сайта: вход через VK ID, Яндекс, Google, пароль или будущий Telegram-вход. Webhook бота принимает только события MAX и проверяет секретный заголовок.
Такой подход отделяет публичный клиентский канал от приватной CRM. Клиент может оставить заявку, но не может увидеть список заказов, цены, документы или переписку других клиентов.