FixVibe

// docs / baas security / auth0 hardening

Auth0 trygdarlisti: 22 evni

Auth0 er ein samleiki-sum-tænasta-pallur við einari óhampaðari yvirflatu — appir, API (resource servers), leigarar, uppgerðir, reglur (forn), sambondunir og veitingar. Misskipan av nakari teirra er ein váttans-umtak. Hesin listi er ein 22-evnis endurskoðan yvir appir, callback / útskrivar-loyvi-listar, tokens og refresh-rotering, sergjørdar uppgerðir, RBAC, ávik-uppgøtan og varandi vakt. Hvørt evni er váttanligt í Auth0 Dashboard á minni enn 10 minuttum.

Fyri parallela listan á Clerk, sí Clerk trygdarlisti. Fyri bakgrund um, hví samleiksstigs misskipanir eru AI-amboð-blindir punktir, sí Hví AI-kotuamboð lata trygdarholur eftir.

App-typa og veitingar-typur

App-typan og virkjaðar veitingar-typur eru hinar høgstu ávirkanin í Auth0. At fáa tey skeiv letur upp árásarflokkar, sum eingin frontend-kotu vil loka.

  1. Brúk Application Type = Single Page Application fyri kagara-bert appir og Regular Web Application fyri servara-endurgivnar appir. Skeiva typan loyvir skeivar veitingar-typur — t.d. ein Regular Web App við SPA-veitingini virkjar PKCE-lesa Implicit-flokin, sum lekkir tokens gjøgnum URL-broyt.
  2. Deaktivera Implicit-veitingar-typuna á hvørjari app. Dashboard → Application → Advanced Settings → Grant Types → fjar Implicit. Implicit-flokurin gevur tokens aftur í URL-broyt, har tey verða loggað í kagara-søgu og analysuni. Brúk Authorization Code við PKCE í staðin.
  3. Deaktivera Password-veitingar, um tú hevur ikki skjalfest tørv. Resource Owner Password Credentials (ROPC)-veitingin krevur, at tú handfar brúkara-lykilorð sjálv — sum tekur tað meiri, tú keyptir Auth0 fyri. Deaktivera hana, um tú ikki samansetur eitt fornt kervi.
  4. Virkja Authorization Code við PKCE á hvørjum almennum klienti. Dashboard → Advanced Settings → OAuth → JsonWebToken Signature Algorithm = RS256, OIDC Conformant = virkjað. PKCE er kravd fyri mobile-appir og SPA'ir at forða fyri kotu-avtøkan.

Callback- og útskrivar-URL-loyvi-listar

Opnar omdireksjónir á OAuth-callback-leiðini eru ein token-stølu-amboð. Auth0's loyvi-listi er tín einasta verja.

  1. Sett loyvd Callback-URL'ar til tína neyvu framleiðslu-callback-leið — ongin vild-tegn. https://yourapp.com/callback, ikki https://yourapp.com/*. Vild-callbacks lata árásarmenn omdirigera tokens til tilvilja undirleiðir á tíni domena.
  2. Sett loyvdar Útskrivar-URL'ar til ein endaligan lista. Sama regla: bert greiðar URL'ar. Ein opin útskrivar-omdireksjón letur árásarmenn lúska fiska-síður, sum líkjast tíni eftir-útskrivar standi.
  3. Sett loyvd Web-uppruna til tína framleiðslu-uppruna bert. Brúkt fyri lygnandi váttan (token-endurnýing gjøgnum dult iframe). Ein vild-uppruni letur árásarmaður-síður gera lygnandi váttan ímóti tíni leigara.
  4. Sett loyvdar CORS-uppruna fyri API-endapunktar, ikki appina. Tenant Settings → Advanced → Allowed CORS origins. Standardin er tóm (avmarka); legg bert greiðar uppruna afturat, sum tú stýrir.

Tokens og refresh-rotering

Token-lívlongd, refresh-rotering og undirskrivar-algoritma avgera blast-radiussin av nakari token-leka.

  1. Virkja Refresh Token Rotation. Application → Refresh Token Settings → Rotation. Hvør refresh gevur ein nýggjan refresh-token og ógyldur hin gamla. Saman við absolut útrunning fevnir hetta um token-stølu.
  2. Sett Refresh Token Reuse Interval til 0 (ella so lágt sum tín endurspælar-tolan loyvir). Endurnýtsla-intervallið letur ein token brúkast tvær ferðir í somu vindeyga — sløkk tað, um tú hevur ikki eina serliga orsøk at halda tað.
  3. Sett Absolut Refresh Token Útrunning til 14-30 dagar, ikki óendalig. Application → Refresh Token Expiration → Absolute Expiration. Auth0 setir standardin til Inactivity-bert, sum merkir, at ein óvirkin fundur kann verða í árum.
  4. Sett JWT-undirskrivar-algoritmu til RS256. Application → Advanced → OAuth → JsonWebToken Signature Algorithm. RS256 brúkar asymmetriska undirskriving, so klienturin kann ikki forge tokens. Brúk ongantíð HS256 fyri klient-vendar appir.
  5. Vátta aud- og iss-krøv á hvørjum JWT, tínast API móttekur. Brúk hin formlega Auth0 SDK á servara-síðuni — hann váttar hetta sjálvirkandi. Sjálv-skrivað JWT-parsing fyriherðir vanliga áhoyrendi-vátting, sum er ein váttan-umtak.

Uppgerðir og sergjørd kotu

Auth0 Actions (og fornar Rules) koyra á servara-síðu við innskriving og øðrum lívsstigshendingum. Tær hava atgongd til allan fyrispurnings-samanhang. Ótrygg kotu her er ein leigara-víð veikleika.

  1. Logga ongantíð event.user ella event.transaction sum heilt objekt. Hesi hava emailadressur, IP-adressur og aðrar PII. Brúk bert felt-stigs-logging og logga bert tað, tú hevur tørv á.
  2. Brúk loyndarmáls-goymsluna fyri nakran API-lykil ella webhook-URL. Actions → Edit → Secrets. Set ongantíð ein API-lykil inn sum eina streng-konstant í uppgerða-kotuni — kotuna er sjónlig fyri hvønn tann við Action editor-atgongd á leigaranum.
  3. Vátta inntøkur, áðrenn tey verða goymd sum user_metadata ella app_metadata. Ein sjálvshjálpar-uppgerð, sum skrivar event.body.name til user.user_metadata.display_name, er ein goymd-XSS-veitari, um tín frontend gerir tað feltið uttan at undanrenna.

RBAC og resource servers

Um tú brúkar Auth0 RBAC, er rólvu-til-rættindi-mappingin tín rættindislag. Fá tað skeivt, og hvør váttaður brúkari kann nátta admin-endapunktar.

  1. Skipa Resource Servers (API'ir) greitt í Auth0 Dashboard, ikki á flúttinum. Hvør API hevur ein eyðmerking (audience), umfáir og undirskrivar-stillingar. Uttan ein skrásettan API verða allir tokens útgivnir til hin innfólgna "Auth0 Management API" — skeivt áhoyrendi.
  2. Skipa rættindi per API og krev tey í tíni kotu við scope-krøvinum. Kanna ikki rólvu-limaskap í tíni app-loikvni; kanna umfáir í atgongd-tokeninum. Umfáir eru hin OAuth-innfólgni rættindis-mekanismur.
  3. Royn at ein váttaður brúkari uttan kravdu rólvuna / umfáið kann ikki nátta rættindi-endapunktar. Tilmelda teg sum normalur brúkari, royn at kalla POST /api/admin/users/delete. Svarið má vera 403.

Ávik-uppgøtan og leigara-loggar

Auth0 sendir høg-merkis hendingar. Set tær upp at boða tínum lagi, ikki bert at sita í einum logg-buffari.

  1. Virkja Attack Protection: Bot Detection, Brute Force, Suspicious IP Throttling. Dashboard → Security → Attack Protection. Hvør er sløkt sum standard á ókeypis stigum; virkja allar fyri framleiðslu.
  2. Strøym leigara-loggar til ein SIEM ella tínar app-loggar. Dashboard → Monitoring → Streams. Auth0 varðar loggar í 30 dagar á flestu ætlanum; langtíðar varðveitsla krevur ein strøym inn í títt egna kervi.
  3. Boða um fcoa (misvunnin kross-uppruna váttan) og fp (misvunnin innskriving)-loyk. Eitt burst av hesum á stuttum vindeyga er nógv-prøving. Leið til tín á-kall-rás.

Næstu stig

Koyr eina FixVibe-skanning móti tíni framleiðslu-URL — baas.clerk-auth0-eftirkanningin merkir Auth0 klient-loyndarmáli bunkað í JavaScript og aðrar samleiksveitara-avdúkanarflokkar. Fyri tann samsvarandi á Clerk, sí Clerk trygdarlisti. Fyri tann omfattandi yvirlit yvir BaaS-veitarar, les BaaS-misskipansskannari.

// skanna tína baas-yvirflatu

Finn ta opnu talvuna, áðrenn onkur annar ger tað.

Set eina framleiðslu-URL inn. FixVibe telur upp tær BaaS-veitarar, sum tín app tosar við, fingraavryggjar teirra alment endapunkt og fráboðar, hvat ein óvátt klientur kann lesa ella skriva. Ókeypis, eingin innleggjing, eitt einki kort.

  • Ókeypis støði — 3 skanningar/mánaði, einki kort við tilmelding.
  • Passiv BaaS-fingraavrygging — eingin domena-vátting kravd.
  • Supabase, Firebase, Clerk, Auth0, Appwrite og fleiri.
  • AI-fix-leiðbeiningar á hvørjari findingi — set aftur inn í Cursor / Claude Code.
Koyr eina ókeypis BaaS-skanning

eingin tilmelding kravd

Auth0 trygdarlisti: 22 evni — Docs · FixVibe