FixVibe

// docs / baas security / clerk hardening

Liosta-sgrùdaidh tèarainteachd Clerk: 20 nì

Bidh Clerk a' làimhseachadh dearbhadh, seiseanan, agus buidhnean airson na h-aplacaide agad — a tha a' ciallachadh gu bheil amalachadh Clerk mì-rèidhte na seachnadh dearbhaidh, na fèith socrachaidh seisein, no na shlighe leigeil-a-mach buidhne. Tha an liosta-sgrùdaidh seo na sgrùdadh 20-nì thar iuchraichean, rèiteachadh seisein, webhooks, buidhnean, teamplaidean JWT, agus monatoradh leantainneach. Bidh innealan còdaidh AI a' ceangal Clerk gu sgiobalta le bun-roghainnean ciallach; bidh an liosta seo a' glacadh nan nithean a tha iad a' fàgail.

Airson cùl-fhiosrachadh mu carson a tha mì-rèiteachaidhean na h-ìre dearbhaidh nam puing-laig do dh'innealan AI, faic Carson a tha innealan còdaidh AI a' fàgail beàrnan tèarainteachd. Airson na liosta-sgrùdaidh co-shìnte air Auth0, faic Liosta-sgrùdaidh tèarainteachd Auth0.

Iuchraichean àrainneachd agus liosta-cheadachaidh tùis

Bidh Clerk a' cur a-mach dà iuchair eadar-dhealaichte gach pròiseact. Tha am measgachadh no an leigeadh-a-mach mar a' chiad mhodh fàilligidh.

  1. Cleachd an iuchair fhoillseachail (pk_live_* ann an cinneasachadh, pk_test_* ann an dev) sa bhrabhsair; cleachd an iuchair dhìomhair (sk_live_* / sk_test_*) air an fhrithealaiche a-mhàin. Tha an iuchair fhoillseachail sàbhailte ann an NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY; chan fhaod an iuchair dhìomhair ro-leasachan poblach a chumail agus chan fhaod i nochdadh ann am pàirt cliant.
  2. Dearbh gu bheil an aplacaid cinneasachaidh a' cleachdadh pk_live_*, chan e pk_test_*. Bidh suidheachaidhean deuchainn a' ceadachadh seòlaidhean post-d gun dearbhadh agus MFA dheth — tha cur a-mach modh deuchainn gu cinneasachadh na sheachnadh dearbhaidh.
  3. Rèitich na tùsan ceadaichte ann an Dashboard Clerk. Roghainnean → Àrainnean → Tùsan ceadaichte feumaidh an àrainn cinneasachaidh agad a liostadh gu cinnteach. Bidh liostaichean tùis falamh no le wildcard a' leigeil le luchd-ionnsaigh frontends Clerk meallta a chruthachadh a bhruidhneas ris a' chùl-taic agad.
  4. Cuir cuairt air an iuchair dhìomhair air falbh sam bith no leigeadh-a-mach amharasach. Dashboard → Iuchraichean API → Ath-shuidhich. Tha an t-seann iuchair air a cur à neart; cuir a-mach còd taobh-frithealaiche leis an luach ùr mus dèan thu cuairteachadh.

Rèiteachadh seisean

'S e crìoch seisein agus crìoch dìomhain an diofar eadar seisean a chaidh a ghoid mar thachartas 10-mionaid no 30-latha.

  1. Suidhich crìoch dìomhain seisean gu 30 mionaid no nas lugha airson aplacaidean SaaS a tha a' làimhseachadh dàta cugallach. Dashboard → Seiseanan → Crìoch dìomhain. Bu chòir do dh'aplacaidean ìre bancaireachd 5-10 mionaidean a chleachdadh; SaaS àbhaisteach 30-60 mionaid; aplacaidean luchd-cleachdaidh 1-7 latha. 'S e a' bhun-roghainn 7 latha.
  2. Cuir cuir-an-aghaidh seisein an comas air atharrachadh facal-faire, atharrachadh post-d, agus clàradh MFA. Dashboard → Seiseanan → Cuir an aghaidh air. Tha sin nan tachartasan tèarainteachd a thòiseachas an cleachdaiche; bu chòir seiseanan a tha ann air innealan eile a mharbhadh.
  3. Dearbh seiseanan aig taobh an fhrithealaiche air gach slighe dìonta, chan ann dìreach aig àm clàraidh. Ann an Next.js: leughaidh const { userId } = await auth(); ann am pàirt frithealaiche / slighe API an JWT bhon bhriosgaid agus dearbhaidh e e. Na earb à sgrùdadh briosgaid a-mhàin a-riamh.
  4. Suidhich SameSite=Lax (bun-roghainn) no Strict air briosgaid an t-seisein. Dearbh ann an DevTools → Aplacaid → Briosgaidean. 'S e SameSite=None meadhan CSRF — na cleachd e mura h-eil thu air stèidheachadh dearbhaidh tar-àrainneach a rèiteachadh gu follaiseach.

Dearbhadh webhook

Bidh webhooks Clerk a' losgadh air tachartasan beatha cleachdaiche (cruthaichte, ùraichte, dubhte às, session.ended). 'S iadsan a' bhuidheann sioncronachaidh airson an stòir-dàta agad — agus 's e webhook breugach prìomh-sgrìobhadh-stòir-dàta.

  1. Dearbh ainm-sgrìobhte Svix air gach webhook. Tha webhooks Clerk air an soidhneadh le Svix. Cleachd new Webhook(secret).verify(body, headers). Diùlt le 401 ma dh'fhàillig an dearbhadh.
  2. Stòr dìomhair an webhook ann an caochladair àrainneachd, chan ann an còd a-riamh. Bidh an dìomhair a' cuairteachadh air gach ath-ghineadh san Dashboard — feumaidh an cur-a-mach agad a leughadh bho env, chan ann bho sheasmhach.
  3. Idempotency air gach làimhsiche. 'S urrainn do lìbhrigidhean webhook ath-aithris. Cleachd an ceann svix-id mar phrìomh iuchair ann an clàr webhook_events gus dùblachadh a chasg. Paisg an t-atharrachadh staid agus cuir-a-steach na idempotency san aon ghnothach.
  4. Air user.deleted, dèan cruaidh-sgrios no neoini PII am broinn 24 uair. Tha GDPR / CCPA ga iarraidh. Sgrùd slighe an sgrios: dè na clàran a chumas dàta a' chleachdaiche seo? Cleachd FK ON DELETE CASCADE far an urrainn dhut.

Buidhnean agus ceadan

Ma chleachdas tu Buidhnean Clerk, 's e crìoch na buidhne sgaradh nan luchd-fastaidh agad. Feumaidh gach ceist taobh-frithealaiche sìoladh leis.

  1. Air gach slighe API, leugh an dà chuid userId agus orgId bho auth() agus sìolaich ceistean stòir-dàta leis an dà chuid. WHERE org_id = $orgId AND user_id = $userId. Na earb à org_id bho bhodhaig an iarrtais a-riamh.
  2. <strong>Use Clerk role checks for privileged operations, not boolean checks against the user object.</strong> <code>has({ role: 'org:admin' })</code> reads the role from the verified JWT. A user can spoof a boolean on a stale client object; they cannot spoof a JWT claim.
  3. Dèan deuchainn sgaradh tar-org le dà chunntas buidhne fhìor. Cruthaich Buidheann A, cuir dàta a-steach, clàraich a-steach gu Buidheann B ann am brabhsair eile, feuch ri dàta Buidhne A a leughadh tron API. Feumaidh am freagairt a bhith 403 no 404.

Teamplaidean JWT agus amalachaidhean taobh a-muigh

Bidh teamplaidean JWT a' putadh dearbh-aithne Clerk a-steach do Supabase, Firebase, agus seirbheisean sìos-shruth eile. Bidh teamplaidean mì-rèidhte a' co-roinn cus thagraidhean no a' foillseachadh dàta nach robh thu a' ciallachadh.

  1. Airson gach teamplaid JWT, liostaich gach tagradh agus dearbh gu bheil e riatanach. Dashboard → Teamplaidean JWT. Bidh teamplaid a chuireas email agus phone gu Supabase a' foillseachadh PII do dhuine sam bith a leughas an JWT sa bhrabhsair.
  2. Suidhich crìoch ghoirid air teamplaidean JWT a thathar a' cleachdadh airson gairmean sìos-shruth taobh-cliant. 'S e 60 diog airson iarrtasan API sìos-shruth an inbhe. Bidh JWTan le beatha nas fhaide air an goid agus air an ath-chluich.
  3. Dearbh an tagradh èisdeachd (aud) air taobh fhaighinn. Bu chòir do Supabase, Firebase, msaa sgrùdadh gu bheil aud a' freagairt air aithnichear seirbheis dùilte. Às aonais seo, 's urrainn do JWT a chaidh a thoirt seachad airson seirbheis A dearbhadh gu seirbheis B.

Monatoradh gnìomhachail

'S e dearbhadh an stòr loga as àirde comharra a th' agad. Cum sùil air.

  1. Cuir caismeachd air spìcean clàraidh fàillte gach IP / gach cunntas. 'S e ionnsaigh-stuth-mhilleadh teisteanasan a th' ann an reat fàillte 50x àbhaisteach. Bidh Clerk a' cur a-mach na tachartasan seo gu webhooks; cuir gu SIEM iad.
  2. Lèirmheas ràithealach air siabadh roghainnean seisein agus suidheachadh. Bidh bun-roghainnean ag atharrachadh nuair a tha Clerk ag ùrachadh; bidh "seann rèiteachaidhean" a' fàs ceàrr gu sàmhach thar tìm. Dèan diofar air às-mhalairt JSON an Dashboard an aghaidh an lethbhreac mu dheireadh a tha aithnichte ceart.

An ath cheum

Ruith sgan FixVibe an aghaidh URL a' chinneasachaidh agad — bidh an sgrùdadh baas.clerk-auth0 a' comharrachadh iuchraichean foillseachail Clerk, iuchraichean deuchainn ann an cinneasachadh, agus iuchraichean dìomhair air am pasgadh. Airson na liosta-sgrùdaidh co-ionann air Auth0, faic Liosta-sgrùdaidh tèarainteachd Auth0. Airson an t-sealladh fharsaing thar solaraichean BaaS, leugh Sganair mì-rèiteachaidh BaaS.

// sganaich uachdar baas agad

Lorg an clàr fosgailte mus lorg cuideigin eile e.

Cuir a-steach URL cinneasachaidh. Nì FixVibe àireamhachadh air na solaraichean BaaS leis a bheil an aplacaid agad a' bruidhinn, lorgaidh e am puingean-deiridh poblach, agus aithrisidh e na as urrainn do chliant gun dearbhadh leughadh no sgrìobhadh. An-asgaidh, gun stàladh, gun chairt.

  • Sreath an-asgaidh — 3 sganaidhean sa mhìos, gun chairt clàraidh.
  • Comharrachadh BaaS fulangach — chan eil dearbhadh seilbh àrainn a dhìth.
  • Supabase, Firebase, Clerk, Auth0, Appwrite agus barrachd.
  • Cur-thairis càraidh AI air gach toradh — cuir air ais e gu Cursor / Claude Code.
Ruith sganadh BaaS an-asgaidh

gun chlàradh a dhìth

Liosta-sgrùdaidh tèarainteachd Clerk: 20 nì — Docs · FixVibe