Files
breadcrumb-the-shire/docs/tutorial-07-security-tenant-scope.md

776 B

Security und Tenant-Scope

Letzte Aktualisierung: 2026-03-06

Ziel

Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.

Pflichtmodell pro Request

  1. Authentifizierung (eingeloggt?)
  2. Permission-Check (darf der User das?)
  3. Tenant-Scope-Check (darf er es im Ziel-Tenant?)

Muss-Regeln

  • Keine sicherheitsrelevanten Checks nur im Frontend.
  • Denials je Endpunkt-Semantik als 403 oder 404.
  • Sensible Daten nicht in Fehlern oder Logs leaken.

Quick-Checklist

  • Permission vorhanden und geprüft?
  • Tenant-Bindung serverseitig geprüft?
  • CSRF bei Schreibaktionen aktiv?
  • API-Fehlerformat konsistent?

Vertiefung

  • Vollständiges Modell: /docs/explanation-sicherheitsmodell.md
  • Rate Limits: /docs/howto-anfragelimits.md