Files
breadcrumb-the-shire/docs/tutorial-07-security-tenant-scope.md

32 lines
776 B
Markdown

# Security und Tenant-Scope
Letzte Aktualisierung: 2026-03-06
## Ziel
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
## Pflichtmodell pro Request
1. Authentifizierung (eingeloggt?)
2. Permission-Check (darf der User das?)
3. Tenant-Scope-Check (darf er es im Ziel-Tenant?)
## Muss-Regeln
- Keine sicherheitsrelevanten Checks nur im Frontend.
- Denials je Endpunkt-Semantik als `403` oder `404`.
- Sensible Daten nicht in Fehlern oder Logs leaken.
## Quick-Checklist
- Permission vorhanden und geprüft?
- Tenant-Bindung serverseitig geprüft?
- CSRF bei Schreibaktionen aktiv?
- API-Fehlerformat konsistent?
## Vertiefung
- Vollständiges Modell: `/docs/explanation-sicherheitsmodell.md`
- Rate Limits: `/docs/howto-anfragelimits.md`