FixVibe

// docs / baas security / clerk hardening

Clerk jark'aqaña checklist: 20 items

Clerk auth, sesiones, ukat organizaciones aplicación apsu — sasinx mä mala configurada Clerk integración mä auth-salto, mä sesión-asentamiento vector, jan ukax mä org-jaltäwi ruta. Aka checklist mä 20-item audit llawi, sesión config, webhooks, organizaciones, JWT plantillas, ukat sigiriri uñakipt'awi. IA codificación yänakax Clerk jichhakipan defecto sumampi catayapxi; aka lista itemnak armapxi uka katu.

Auth-layer jan walt'awinakax IA-yä jasa puntu kunatix fundamento, Kunatix IA codificación yänakax jark'aqaña pakitäwinak ki̥yanaqi ulla. Auth0 ukar paralelo checklist, Auth0 jark'aqaña checklist ulla.

Medio ambiente llawi ukat origen permitilista

Clerk pä mayja llawi sapa proyecto apsu. Mezclayasi jan ukax jaltayañax nayrïr pakitayawi.

  1. Publishable llawi (pk_live_* production ukan, pk_test_* dev ukan) navegadoran apnaqaña; secret llawi (sk_live_* / sk_test_*) servidor ukak. Publishable llawi NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY ukan walikipata; secret llawix janipuni mä público env prefijoni apkatañpa ukat janipuni mä cliente componenten utjañpa.
  2. Production aplicaciónamax pk_live_* apnaqi verifikaña, janit pk_test_*. Test instancias jan verifikat email direcciones ukat MFA deshabilitada permitipxi — production ukar test modo apsuyañax mä auth-salto.
  3. Permititas orígenes Clerk Dashboard ukan configura. Configuración → Dominios → Permititas orígenes production dominionam exactamente apkatñpa. Inakix jan ukax wildcard origen lista atacantenakar permitipxi rogue Clerk frontends backendmar arsupxañataki.
  4. Secret llawi rotaña kun departamento jan ukax sospecha jaltäwiri. Dashboard → API Llawi → Reset. Nayrïr llawix invalidata; servidor lado código machaq valor ukamp redespliega rotación nayratak.

Sesión configuración

Sesión caducidad ukat inactividad armtaña mä apsut sesión mä 10-minuto incidente ukat mä 30-uru ukamp mayjawiwa.

  1. Sesión inactividad armtaña 30 minutos jan ukax juk'amp pisin SaaS aplicaciones sensible datos manejaña. Dashboard → Sesiones → Inactividad armtaña. Banking-tier aplicaciones 5-10 minutos apnaqapxi; estándar SaaS 30-60 minutos; consumer aplicaciones 1-7 urunaka. Defectu 7 urunaka.
  2. Sesión revocación clave-mayjayañ, email mayjayañ, ukat MFA inscripción ukar utt'ayaña. Dashboard → Sesiones → Revoca ukan. Akanakax usuariu-iniciat jark'aqaña eventos; vivkir sesiones yaqha dispositivos jiwjañpa.
  3. Sesiones servidor lado sapa jark'ata ruta verifikaña, janit sign-in ukak. Next.js ukan: const { userId } = await auth(); mä servidor componente / API ruta JWT cookie ukat ulla ukat validi. Janipuni mä cookie-ukak verificación atxa.
  4. SameSite=Lax (defectu) jan ukax Strict sesión cookien apnaqaña. DevTools → Aplicación → Cookies ukan verifikaña. SameSite=None mä CSRF vector — janipuni apnaqaña explícitamente cruce-dominio auth wak'iya configurkpan.

Webhook verificación

Clerk webhooks usuariu ciclu eventos (creyaña, mayjayaña, armtaña, session.ended) ukar apnaqi. Akanakax mä base de datusam sincronización mecanismo — ukat mä forjat webhook mä base-de-datus-qillqaña primitivowa.

  1. Svix firma verifikaña sapa webhook ukan. Clerk webhooks Svix ukamp firmatawa. new Webhook(secret).verify(body, headers) apnaqaña. 401 ukamp niegaña verificación falka.
  2. Webhook secret medio ambiente variable ukan apsuyaña, janipun códigon. Secret Dashboard regeneración sapa rotapxiwa — apsuwax env ukat ullkañapan, jan mä constante ukat.
  3. Idempotencia sapa manejadoran. Webhook entregas wasitat lurapxañ. svix-id cabecera mä primario llawi mä webhook_events tablan apnaqaña dedupañataki. Estado mayjawi ukat idempotencia inserción pachpa transacciónan ñiq'iya.
  4. user.deleted ukan, fuerza-armtaña jan ukax anonimizaña PII 24 hora manqhan. GDPR / CCPA muniwa. Armtawi ruta auditi: kun tablax aka usuariu datusap apkati? FK ON DELETE CASCADE apnaqaña kawkir atatax.

Organizaciones ukat permisos

Clerk Organizaciones apnaqkpan, org taypiwix arrendatario aislamiento. Sapa servidor lado consulta paypach ukar filtrayañpa.

  1. Sapa API rutan, userId ukat orgId auth() ukat ulla ukat base de datus consulta paypach ukar filtrayaña. WHERE org_id = $orgId AND user_id = $userId. Janipuni mä org_id petición cuerpo ukat atxa.
  2. <strong>Use Clerk role checks for privileged operations, not boolean checks against the user object.</strong> <code>has({ role: 'org:admin' })</code> reads the role from the verified JWT. A user can spoof a boolean on a stale client object; they cannot spoof a JWT claim.
  3. Cruce-org aislamiento probaña pä verdadera org cuentanakamp. Org A luraña, datos poblar, Org B yaqha navegadoran sign in, API ukat Org A datos ullaña tantiyaña. Respuesta 403 jan ukax 404 munay.

JWT plantillas ukat externas integraciones

JWT plantillas Clerk identidad Supabase, Firebase, ukat yaqha aksaru-servicios ukar suntu. Mala configurada plantillas demanda-llallayi jan ukax datos jan munat qhanstayi.

  1. Sapa JWT plantilla ukatakix sapa demanda lista ukat munat confirmaña. Dashboard → JWT Plantillas. Mä plantilla email ukat phone Supabase ukar apsu PII ukar khitis JWT navegadoran ullkir qhanstayi.
  2. Caducidad jamuq armaña JWT plantillas cliente-lado aksaru-llamañ apnaqaña. 60 segundos aksaru API peticiones estándar. Jila-jakata JWTs apsupxi ukat replayapxi.
  3. Audiencia (aud) demanda receptora lado verifikaña. Supabase, Firebase, ukanakax aud munat servicio identificador ukamp tuyukatxa uñakipxañpa. Jan akamp, mä JWT servicio A ukatakix apsut servicio B ukar autentikxañpa.

Operacional uñakipt'awi

Auth juk'amp jach'a-chimpu log fuente atxa. Uñjaña.

  1. Falka-login picos sapa IP / sapa cuenta uñakipt'aña. Mä 50× normal falka velocidad mä credencial-llenamiento ataque. Clerk akanak eventos webhooks ukar apsuyi; SIEM ukar ruta.
  2. Trimestral revisión sesión ukat instancia configuraciones derivanak. Defectos mayjasiwa Clerk aktualizki; "maytur configuraciones" ch'ukt mal apsuyatasi pachat. Dashboard JSON exportación última-yatita-suma copia uñtatayaña.

Qhipa lurawinaka

Mä FixVibe escaneo production URL ukar apnaqaña — baas.clerk-auth0 verificación Clerk publishable llawi, test llawi production ukan, ukat apsuyat secret llawi chimpsuyi. Auth0 ukan paralelo checklist, Auth0 jark'aqaña checklist ulla. BaaS proveedornakar mä jach'a uñjañataki, BaaS jan walt'awi escáner ulla.

// baas superficie escaneaña

Yaqha jaqix jikxatkañkam jist'arata tabla jikxataña.

Mä production URL apsuma. FixVibe aplicacionax kawkïr BaaS proveedornakampis arsi uka enumeri, jupanakan endpoints público huellanakap luri ukat kun mä cliente jan autenticado ulläspa jan ukax qillqaspa uka informi. Inakiwa, jan instalañani, jan tarjetani.

  • Inaki plan — 3 escaneo phaxsin, jan tarjetampi registro.
  • BaaS huellanakax pasivut — jan dominio verificación munki.
  • Supabase, Firebase, Clerk, Auth0, Appwrite ukat juk'amp.
  • IA askichañataki prompts sapa jikxatäwina — Cursor / Claude Code ukan pegaña.
Inaki BaaS escaneo apnaqaña

jan registro munki

Clerk jark'aqaña checklist: 20 items — Docs · FixVibe