docs: restructure docs to diataxis and finalize DOCS-RESTRUCTURE-001
This commit is contained in:
31
docs/tutorial-07-security-tenant-scope.md
Normal file
31
docs/tutorial-07-security-tenant-scope.md
Normal file
@@ -0,0 +1,31 @@
|
||||
# Security und Tenant-Scope
|
||||
|
||||
Letzte Aktualisierung: 2026-03-06
|
||||
|
||||
## Ziel
|
||||
|
||||
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
|
||||
|
||||
## Pflichtmodell pro Request
|
||||
|
||||
1. Authentifizierung (eingeloggt?)
|
||||
2. Permission-Check (darf der User das?)
|
||||
3. Tenant-Scope-Check (darf er es im Ziel-Tenant?)
|
||||
|
||||
## Muss-Regeln
|
||||
|
||||
- Keine sicherheitsrelevanten Checks nur im Frontend.
|
||||
- Denials je Endpunkt-Semantik als `403` oder `404`.
|
||||
- Sensible Daten nicht in Fehlern oder Logs leaken.
|
||||
|
||||
## Quick-Checklist
|
||||
|
||||
- Permission vorhanden und geprüft?
|
||||
- Tenant-Bindung serverseitig geprüft?
|
||||
- CSRF bei Schreibaktionen aktiv?
|
||||
- API-Fehlerformat konsistent?
|
||||
|
||||
## Vertiefung
|
||||
|
||||
- Vollständiges Modell: `/docs/explanation-sicherheitsmodell.md`
|
||||
- Rate Limits: `/docs/howto-anfragelimits.md`
|
||||
Reference in New Issue
Block a user