776 B
776 B
Security und Tenant-Scope
Letzte Aktualisierung: 2026-03-06
Ziel
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
Pflichtmodell pro Request
- Authentifizierung (eingeloggt?)
- Permission-Check (darf der User das?)
- Tenant-Scope-Check (darf er es im Ziel-Tenant?)
Muss-Regeln
- Keine sicherheitsrelevanten Checks nur im Frontend.
- Denials je Endpunkt-Semantik als
403oder404. - Sensible Daten nicht in Fehlern oder Logs leaken.
Quick-Checklist
- Permission vorhanden und geprüft?
- Tenant-Bindung serverseitig geprüft?
- CSRF bei Schreibaktionen aktiv?
- API-Fehlerformat konsistent?
Vertiefung
- Vollständiges Modell:
/docs/explanation-sicherheitsmodell.md - Rate Limits:
/docs/howto-anfragelimits.md