FixVibe

// docs / baas security / auth0 hardening

Rhestr wirio diogelwch Auth0: 22 eitem

Mae Auth0 yn llwyfan hunaniaeth-fel-gwasanaeth gydag wyneb enfawr — apiau, APIs (gweinyddion adnoddau), denantiaid, gweithredoedd, rheolau (hen), cysylltiadau, a grantiau. Mae cam-gyflunio unrhyw un ohonynt yn osgoi auth. Mae'r rhestr wirio hon yn archwiliad 22 eitem ar draws apiau, rhestrau caniatáu callback / logout, tocynnau a chylchdroi aildaliad, gweithredoedd arferol, RBAC, canfod afrywioledd, a monitro parhaus. Mae pob eitem yn ddilysadwy ym Bwrdd Gwaith Auth0 mewn llai na 10 munud.

Am y rhestr wirio gyfwerth ar Clerk, gweler Rhestr wirio diogelwch Clerk. Am gefndir ar pam mae cam-gyfluniadau haen hunaniaeth yn fannau dall offer AI, gweler Pam mae offer codio AI yn gadael bylchau diogelwch.

Math o gais a mathau grant

Math y cais a'r mathau grant a alluogwyd yw'r gosodiadau effaith-uchaf yn Auth0. Mae eu cael yn anghywir yn agor dosbarthiadau o ymosodiadau na fydd unrhyw faint o god blaen yn eu cau.

  1. Defnyddia Math Cais = Single Page Application ar gyfer apiau porwr-yn-unig a Regular Web Application ar gyfer apiau wedi'u rendro ar y gweinydd. Mae'r math anghywir yn caniatáu'r mathau grant anghywir — e.e., mae Regular Web App gyda'r grant SPA yn galluogi llif Implicit di-PKCE, sy'n gollwng tocynnau trwy ddarnau URL.
  2. Analluogi'r math grant Implicit ar bob cais. Bwrdd Gwaith → Application → Advanced Settings → Grant Types → dad-dicio Implicit. Mae llif Implicit yn dychwelyd tocynnau mewn darnau URL, lle maent yn cael eu cofnodi yn hanes porwr a dadansoddeg. Defnyddia Authorization Code gyda PKCE yn lle.
  3. Analluogi grant Password oni bai bod gennyt angen wedi'i ddogfennu. Mae grant Resource Owner Password Credentials (ROPC) yn gofyn i ti ymdrin â chyfrineiriau defnyddwyr dy hun — gan drechu'r rhan fwyaf o'r hyn a brynaist Auth0 amdano. Analluogi oni bai bod yn integreiddio system hen.
  4. Galluoga Authorization Code gyda PKCE ar bob cleient cyhoeddus. Bwrdd Gwaith → Advanced Settings → OAuth → JsonWebToken Signature Algorithm = RS256, OIDC Conformant = wedi'i alluogi. Mae PKCE'n ofynnol ar gyfer apiau symudol a SPAs i atal rhyng-gipio cod.

Rhestrau caniatáu callback a URL logout

Mae ailgyfeiriadau agored ar y llwybr callback OAuth yn gyntefig dwyn tocynnau. Rhestr ganiatáu Auth0 yw dy unig amddiffyniad.

  1. Gosod Allowed Callback URLs i'th lwybr callback cynhyrchu union — dim cardiau gwyllt. https://yourapp.com/callback, nid https://yourapp.com/*. Mae callbacks cerdyn gwyllt yn gadael i ymosodwyr ailgyfeirio tocynnau i is-lwybrau mympwyol ar dy barth.
  2. Gosod Allowed Logout URLs i restr derfynol. Yr un rheol: URLs penodol yn unig. Mae ailgyfeiriad logout agored yn gadael i ymosodwyr greu tudalennau phishing sy'n edrych fel dy gyflwr ôl-logout.
  3. Gosod Allowed Web Origins i'th darddiad cynhyrchu yn unig. Wedi'i ddefnyddio ar gyfer dilysu tawel (adnewyddu tocyn trwy iframe wedi'i guddio). Mae tarddiad cerdyn gwyllt yn gadael i dudalennau ymosodwr berfformio auth tawel yn erbyn dy ddenantiad.
  4. Gosod Allowed CORS origins ar gyfer y pwyntiau terfyn API, nid y cais. Tenant Settings → Advanced → Allowed CORS origins. Mae'r diofyn yn wag (wedi'i gyfyngu); ychwanega darddiadau penodol y gelli eu rheoli yn unig.

Tocynnau a chylchdroi aildaliad

Mae hyd oes tocyn, cylchdroi aildaliad, ac algorithm llofnodi yn penderfynu radiws ffrwydrad unrhyw ollyngiad tocyn.

  1. Galluoga Refresh Token Rotation. Application → Refresh Token Settings → Rotation. Mae pob aildaliad yn cyhoeddi tocyn aildaliad newydd ac yn annilysu'r hen un. Ynghyd â dyddiad dod i ben absoliwt, mae hyn yn cyfyngu dwyn tocynnau.
  2. Gosod Refresh Token Reuse Interval i 0 (neu mor isel ag y mae dy oddefiad ailchwarae'n caniatáu). Mae'r cyfwng ailddefnyddio'n gadael i docyn gael ei ddefnyddio ddwywaith yn yr un ffenestr — diffodd oni bai bod gennyt reswm penodol i'w gadw.
  3. Gosod Absolute Refresh Token Expiry i 14-30 diwrnod, nid anfeidredd. Application → Refresh Token Expiration → Absolute Expiration. Mae Auth0'n ddiofyn i Inactivity-yn-unig, sy'n golygu y gall sesiwn segur barhau am flynyddoedd.
  4. Gosod JWT Signature Algorithm i RS256. Application → Advanced → OAuth → JsonWebToken Signature Algorithm. Mae RS256 yn defnyddio llofnodi anghymesur fel na all y cleient ffugio tocynnau. Byth defnyddia HS256 ar gyfer apiau sy'n wynebu cleient.
  5. Dilysa hawliadau aud ac iss ar bob JWT y mae dy API'n ei dderbyn. Defnyddia'r SDK Auth0 swyddogol ar yr ochr gwasanaeth — mae'n dilysu'r rhain yn awtomatig. Mae dosrannu JWT wedi'i wneud â llaw fel arfer yn hepgor dilysu cynulleidfa, sy'n osgoi auth.

Gweithredoedd a chod arferol

Mae Gweithredoedd Auth0 (a Rheolau hen) yn rhedeg ochr-gwasanaeth ar fewngofnodi a digwyddiadau cylch bywyd eraill. Mae ganddynt fynediad i'r holl gyd-destun cais. Mae cod ansicr yma yn fregusrwydd led-denantiad.

  1. Byth cofnoda event.user neu event.transaction fel gwrthrych cyfan. Mae'r rhain yn cynnwys cyfeiriadau e-bost, cyfeiriadau IP, a PII arall. Defnyddia gofnodi lefel-maes yn unig, a chofnoda dim ond yr hyn sydd ei angen arnat.
  2. Defnyddia'r storfa cyfrinachau ar gyfer unrhyw allwedd API neu URL webhook. Actions → Edit → Secrets. Byth mewnosod allwedd API fel llinyn llythrennol yng nghod gweithred — mae'r cod yn weladwy i unrhyw un â mynediad golygu Gweithred ar y denantiad.
  3. Dilysa fewnbynnau cyn eu parhau fel user_metadata neu app_metadata. Mae gweithred hunan-wasanaeth sy'n ysgrifennu event.body.name i user.user_metadata.display_name yn fector XSS storedig os yw dy flaen yn rendro'r maes hwnnw heb ddianc.

RBAC a gweinyddion adnoddau

Os defnyddi RBAC Auth0, mapio rôl-i-ganiatâd yw dy haen awdurdodi. Cael yn anghywir a gall unrhyw ddefnyddiwr dilysedig daro pwyntiau terfyn gweinyddol.

  1. Diffinia Weinyddion Adnoddau (APIs) yn benodol yn Bwrdd Gwaith Auth0, nid yn ddi-oed. Mae gan bob API ddynodydd (yr audience), cwmpasau, a gosodiadau llofnodi. Heb API cofrestredig, mae pob tocyn yn cael ei gyhoeddi ar gyfer y "Auth0 Management API" ymhlyg — cynulleidfa anghywir.
  2. Cyfluniaa Ganiatâd fesul API a'u hangen yn dy god gyda'r hawliad scope. Paid â gwirio aelodaeth rôl yn rhesymeg dy gais; gwiria gwmpasau yn y tocyn mynediad. Cwmpasau yw'r mecanwaith awdurdodi brodorol OAuth.
  3. Profa na all defnyddiwr dilysedig heb y rôl / cwmpas gofynnol daro pwyntiau terfyn brenhinol. Cofrestra fel defnyddiwr arferol, ceisia alw POST /api/admin/users/delete. Rhaid i'r ymateb fod yn 403.

Canfod afrywioledd a logiau denantiad

Mae Auth0 yn allbynnu digwyddiadau signal-uchel. Eu sefydlu i hysbysu dy dîm, nid dim ond eistedd mewn byffer log.

  1. Galluoga Attack Protection: Bot Detection, Brute Force, Suspicious IP Throttling. Bwrdd Gwaith → Security → Attack Protection. Mae pob un i ffwrdd yn ddiofyn ar haenau am ddim; troi pob un ymlaen ar gyfer cynhyrchu.
  2. Ffrydia logiau denantiad i SIEM neu dy logiau cais. Bwrdd Gwaith → Monitoring → Streams. Mae Auth0 yn cadw logiau am 30 diwrnod ar y rhan fwyaf o gynlluniau; mae cadwedigaeth tymor hir yn gofyn am ffrwd i'th system dy hun.
  3. Rhybudd ar sbeiciau fcoa (auth traws-darddiad wedi methu) ac fp (mewngofnodi wedi methu). Mae byrst o'r rhain mewn ffenestr fer yn stwffio tystysgrif. Llwybra i'th sianel ar-alwad.

Camau nesaf

Rheda sgan FixVibe yn erbyn dy URL cynhyrchu — mae'r gwiriad baas.clerk-auth0 yn fflagio cyfrinachau cleient Auth0 wedi'u bwndelu yn JavaScript a dosbarthiadau datguddiad darparwr hunaniaeth eraill. Am y cyfwerth ar Clerk, gweler Rhestr wirio diogelwch Clerk. Am yr olwg ymbarél ar draws darparwyr BaaS, darllena Sganiwr cam-gyfluniad BaaS.

// sganio dy wyneb baas

Canfod y tabl agored cyn i rywun arall wneud.

Gollwng URL cynhyrchu i mewn. Mae FixVibe yn rhifo'r darparwyr BaaS y mae dy ap yn siarad â hwy, yn olrhain eu pwyntiau terfyn cyhoeddus, ac yn adrodd ar yr hyn y gall cleient heb ei ddilysu ei ddarllen neu ei ysgrifennu. Am ddim, dim gosod, dim cerdyn.

  • Haen am ddim — 3 sgan / mis, dim cerdyn cofrestru.
  • Olrhain BaaS goddefol — dim angen dilysu parth.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, a mwy.
  • Awgrymiadau trwsio AI ar bob canfyddiad — gludo'n ôl i Cursor / Claude Code.
Rhedeg sgan BaaS am ddim

dim angen cofrestru

Rhestr wirio diogelwch Auth0: 22 eitem — Docs · FixVibe