2026-03-04 15:56:58 +01:00
|
|
|
# Security und Tenant-Scope
|
|
|
|
|
|
2026-03-06 12:25:18 +01:00
|
|
|
Letzte Aktualisierung: 2026-03-06
|
2026-03-04 15:56:58 +01:00
|
|
|
|
|
|
|
|
## Ziel
|
|
|
|
|
|
|
|
|
|
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
|
|
|
|
|
|
|
|
|
|
## Pflichtmodell pro Request
|
|
|
|
|
|
|
|
|
|
1. Authentifizierung (eingeloggt?)
|
|
|
|
|
2. Permission-Check (darf der User das?)
|
|
|
|
|
3. Tenant-Scope-Check (darf er es im Ziel-Tenant?)
|
|
|
|
|
|
|
|
|
|
## Muss-Regeln
|
|
|
|
|
|
|
|
|
|
- Keine sicherheitsrelevanten Checks nur im Frontend.
|
|
|
|
|
- Denials je Endpunkt-Semantik als `403` oder `404`.
|
|
|
|
|
- Sensible Daten nicht in Fehlern oder Logs leaken.
|
|
|
|
|
|
|
|
|
|
## Quick-Checklist
|
|
|
|
|
|
|
|
|
|
- Permission vorhanden und geprüft?
|
|
|
|
|
- Tenant-Bindung serverseitig geprüft?
|
|
|
|
|
- CSRF bei Schreibaktionen aktiv?
|
|
|
|
|
- API-Fehlerformat konsistent?
|
|
|
|
|
|
|
|
|
|
## Vertiefung
|
|
|
|
|
|
2026-03-06 12:25:18 +01:00
|
|
|
- Vollständiges Modell: `/docs/explanation-sicherheitsmodell.md`
|
|
|
|
|
- Rate Limits: `/docs/howto-anfragelimits.md`
|