Files
breadcrumb-the-shire/docs/06-security-tenant-scope.md

32 lines
758 B
Markdown
Raw Normal View History

2026-03-04 15:56:58 +01:00
# Security und Tenant-Scope
Letzte Aktualisierung: 2026-02-24
## Ziel
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
## Pflichtmodell pro Request
1. Authentifizierung (eingeloggt?)
2. Permission-Check (darf der User das?)
3. Tenant-Scope-Check (darf er es im Ziel-Tenant?)
## Muss-Regeln
- Keine sicherheitsrelevanten Checks nur im Frontend.
- Denials je Endpunkt-Semantik als `403` oder `404`.
- Sensible Daten nicht in Fehlern oder Logs leaken.
## Quick-Checklist
- Permission vorhanden und geprüft?
- Tenant-Bindung serverseitig geprüft?
- CSRF bei Schreibaktionen aktiv?
- API-Fehlerformat konsistent?
## Vertiefung
- Vollständiges Modell: `/docs/sicherheitsmodell.md`
- Rate Limits: `/docs/anfragelimits.md`