FixVibe

// docs / baas security / clerk hardening

Seicliosta slándála Clerk: 20 mír

Láimhseálann Clerk fíordheimhniú, seisiúin, agus eagraíochtaí do d'aip — rud a chiallaíonn gur sárú fíordheimhnithe é comhtháthú Clerk míchumraithe, vector seisiúin-shocraithe, nó cosán sceite eagraíochta. Is iniúchadh 20-mhír é an seicliosta seo ar fud eochracha, cumraíocht seisiúin, fíorú gréasáin, eagraíochtaí, teimpléid JWT, agus monatóireacht leanúnach. Snaidhmeann uirlisí códaithe AI Clerk go tapa le réamhshocruithe ciallmhara; aimsíonn an liosta seo na míreanna a fhágann siad ar an mbord.

Le haghaidh cúlra ar an gcúis a bhfuil míchumraíochtaí ar leibhéal fíordheimhnithe ina laghdú uirlise-AI, féach Cén fáth a bhfágann uirlisí códaithe AI bearnaí slándála. Le haghaidh an tseicliosta chomhthreomhair ar Auth0, féach Seicliosta slándála Auth0.

Eochracha timpeallachta agus liosta ceadaithe bunaite

Eisíonn Clerk dhá eochair ar leith in aghaidh an tionscadail. Is é meascadh nó sceitheadh acu an chéad mhodh teipe.

  1. Úsáid an eochair in-fhoilsithe (pk_live_* sa táirgeadh, pk_test_* san fhorbairt) sa bhrabhsálaí; úsáid an eochair rúnda (sk_live_* / sk_test_*) ar an bhfreastalaí amháin. Tá an eochair in-fhoilsithe sábháilte i NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY; ní mór don eochair rúnda gan réimír env poiblí a iompar riamh agus ní mór nach mbeidh sí le feiceáil i gcomhpháirt chliaint riamh.
  2. Fíoraigh go n-úsáideann an aip táirgthe pk_live_*, ní pk_test_*. Ceadaíonn cásanna tástála seoltaí ríomhphoist neamhfhíoraithe agus MFA díchumasaithe — is sárú fíordheimhnithe é mód tástála a sheoladh chuig an táirgeadh.
  3. Cumraigh na bunáite ceadaithe i bPainéal Clerk. Socruithe → Fearainn → Bunáite ceadaithe ní mór do d'fhearann táirgthe a liostáil go beacht. Ligeann liostaí folmha nó saoróg bunáite ionsaitheoirí éadain bhradacha Clerk a chruthú a labhraíonn le do chúl.
  4. Rothlaigh an eochair rúnda ar aon imeacht nó sceitheadh amhrasta. Painéal → API Keys → Reset. Tá an seaneochair neamhbhailíthe; athimscar cód taobh an fhreastalaí leis an luach nua sula rothlaítear.

Cumraíocht seisiúin

Is é teorainn ama éaga an tseisiúin agus teorainneacha díomhaoine an difríocht idir seisiún goidte a bheith ina theagmhas 10-nóiméad agus ceann 30-lá.

  1. Socraigh teorainn ama díomhaoine seisiún go 30 nóiméad nó níos lú d'aipeanna SaaS a láimhseálann sonraí íogaire. Painéal → Seisiúin → Teorainn ama díomhaoine. Ba chóir d'aipeanna leibhéal-baincéireachta 5-10 nóiméad a úsáid; SaaS caighdeánach 30-60 nóiméad; aipeanna tomhaltóra 1-7 lá. Is é 7 lá an réamhshocrú.
  2. Cumasaigh cúlghairm seisiúin ar athrú pasfhocail, athrú ríomhphoist, agus clárú MFA. Painéal → Seisiúin → Revoke on. Is imeachtaí slándála faoi thionscnamh úsáideora iad seo; ba chóir do sheisiúin reatha ar ghléasanna eile a mharú.
  3. Fíoraigh seisiúin ar thaobh an fhreastalaí ar gach bealach faoi chosaint, ní díreach ag síniú isteach. In Next.js: léann const { userId } = await auth(); i gcomhpháirt fhreastalaí / bealach API an JWT ón bhfianán agus bailíochtaíonn é. Ná bíodh muinín agat as seiceáil fianán-amháin riamh.
  4. Socraigh SameSite=Lax (réamhshocrú) nó Strict ar fhianán an tseisiúin. Fíoraigh in DevTools → Application → Cookies. Is vector CSRF é SameSite=None — ná húsáid riamh é mura bhfuil socrú fíordheimhnithe trasfhearainn cumraithe go sainráite agat.

Fíorú gréasáin

Lasann gréasáin Clerk ar imeachtaí saolré úsáideora (cruthaithe, nuashonraithe, scriosta, session.ended). Is iad an mheicníocht sioncrónaithe iad do do bhunachar sonraí — agus is primitiv scríofa bunachar sonraí gréasán brionnaithe.

  1. Fíoraigh síniú Svix ar gach gréasán. Tá gréasáin Clerk sínithe ag Svix. Úsáid new Webhook(secret).verify(body, headers). Diúltaigh le 401 má theipeann ar fhíorú.
  2. Stóráil rún an ghréasáin in athróg timpeallachta, riamh i gcód. Rothlaíonn an rún ar gach athghiniúint Painéil — caithfidh d'imscaradh é a léamh ó env, ní ó thairiseach.
  3. Cumas idempotency ar gach láimhseálaí. Is féidir le seachadtaí gréasáin athchur. Úsáid an ceanntásc svix-id mar phríomheochair i dtábla webhook_events chun dúbailt a sheachaint. Fill an t-athrú staide agus an cur isteach idempotency san idirbheart céanna.
  4. Ar user.deleted, scrios PII go crua nó déan anaithnid é laistigh de 24 uair an chloig. Teastaíonn sé ó GDPR / CCPA. Iniúchadh an cosán scriosta: cé na táblaí ina bhfuil sonraí an úsáideora seo? Úsáid FK ON DELETE CASCADE áit ar féidir leat.

Eagraíochtaí agus ceadanna

Má úsáideann tú Clerk Organizations, is é teorainn na heagraíochta d'aonrú tionónta. Caithfidh gach ceist taobh an fhreastalaí scagadh dó.

  1. Ar gach bealach API, léigh an userId agus orgId araon ó auth() agus scag ceisteanna bunachair shonraí le iad araon. WHERE org_id = $orgId AND user_id = $userId. Ná bíodh muinín agat as org_id ó chorp an iarratais riamh.
  2. <strong>Use Clerk role checks for privileged operations, not boolean checks against the user object.</strong> <code>has({ role: 'org:admin' })</code> reads the role from the verified JWT. A user can spoof a boolean on a stale client object; they cannot spoof a JWT claim.
  3. Tástáil aonrú tras-eagraíochta le dhá fhíor-chuntas eagraíochta. Cruthaigh Eagraíocht A, líon sonraí, sínigh isteach in Eagraíocht B i mbrabhsálaí eile, déan iarracht sonraí Eagraíochta A a léamh tríd an API. Caithfidh an freagra a bheith 403404.

Teimpléid JWT agus comhtháthuithe seachtracha

Brúnn teimpléid JWT céannacht Clerk isteach in Supabase, Firebase, agus seirbhísí íosroinnt eile. Roinneann teimpléid mhíchumraithe an iomarca éileamh nó nochtann siad sonraí nár chiallaigh tú.

  1. I gcás gach teimpléid JWT, déan liosta de gach éileamh agus deimhnigh go bhfuil sé riachtanach. Painéal → JWT Templates. Nochtann teimpléad a sheolann email agus phone chuig Supabase PII d'aon duine a léann an JWT sa bhrabhsálaí.
  2. Socraigh éag gairid ar theimpléid JWT a úsáidtear le haghaidh glaonna íosroinnt taobh an chliaint. Is é 60 soicind d'iarratais API íosroinnt an caighdeán. Bíonn JWTanna le saolré níos faide goidte agus athimirithe.
  3. Fíoraigh an t-éileamh lucht féachana (aud) ar an taobh glactha. Ba chóir do Supabase, Firebase, srl. a sheiceáil go meaitseálann aud an t-aitheantóir seirbhíse a bhfuiltear ag súil leis. Gan é seo, is féidir le JWT a eisíodh do sheirbhís A fíordheimhniú do sheirbhís B.

Monatóireacht oibríochta

Is é fíordheimhniú an fhoinse logála ardchomhartha is mó atá agat. Coinnigh súil air.

  1. Foláireamh ar spící theip-síniú-isteach in aghaidh an IP / in aghaidh an chuntais. Is ionsaí dintiúir-líonta é ráta teipe 50× níos airde ná an gnáth. Astálann Clerk na himeachtaí seo chuig gréasáin; treoraigh iad chuig do SIEM.
  2. Athbhreithniú ráithiúil ar shocruithe seisiúin agus socruithe an chás-úsáide. Athraíonn réamhshocruithe de réir mar a nuashonraíonn Clerk; éiríonn "seancumraíochtaí" mícheart go ciúin le himeacht ama. Difriú an JSON-easpórtáil ón bPainéal in aghaidh do chóip dheireanach-aitheanta-mhaith.

Na chéad chéimeanna eile

Rith scanadh FixVibe in aghaidh do URL táirgthe — cuireann an seic baas.clerk-auth0 bratach ar eochracha in-fhoilsithe Clerk, eochracha tástála sa táirgeadh, agus eochracha rúnda ina mbeirt. Le haghaidh an tseicliosta chomhionainn ar Auth0, féach Seicliosta slándála Auth0. Le haghaidh an radhairc scáth ar fud soláthraithe BaaS, léigh Scanóir míchumraíochta BaaS.

// scan do dhromchla baas

Aimsigh an tábla oscailte sula bhfaighidh duine eile é.

Cuir URL táirgthe isteach. Áiríonn FixVibe na soláthraithe BaaS a labhraíonn d'aip leo, déanann sé méarloirg ar a gcrícphointí poiblí, agus tuairiscíonn sé cad is féidir le cliant gan fhíordheimhniú a léamh nó a scríobh. Saor in aisce, gan suiteáil, gan chárta.

  • Sraith saor in aisce — 3 scanadh sa mhí, gan chárta clárúcháin.
  • Méarlorg BaaS éighníomhach — gan gá le fíorú fearainn.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, agus tuilleadh.
  • Leideanna deisithe AI ar gach toradh — greamaigh ar ais isteach i Cursor / Claude Code.
Rith scanadh BaaS saor in aisce

níl clárú ag teastáil

Seicliosta slándála Clerk: 20 mír — Docs · FixVibe