forked from fa/breadcrumb-the-shire
758 B
758 B
Security und Tenant-Scope
Letzte Aktualisierung: 2026-02-24
Ziel
Die wichtigsten Sicherheitsregeln verstehen, bevor Features erweitert werden.
Pflichtmodell pro Request
- Authentifizierung (eingeloggt?)
- Permission-Check (darf der User das?)
- Tenant-Scope-Check (darf er es im Ziel-Tenant?)
Muss-Regeln
- Keine sicherheitsrelevanten Checks nur im Frontend.
- Denials je Endpunkt-Semantik als
403oder404. - Sensible Daten nicht in Fehlern oder Logs leaken.
Quick-Checklist
- Permission vorhanden und geprüft?
- Tenant-Bindung serverseitig geprüft?
- CSRF bei Schreibaktionen aktiv?
- API-Fehlerformat konsistent?
Vertiefung
- Vollständiges Modell:
/docs/sicherheitsmodell.md - Rate Limits:
/docs/anfragelimits.md