FixVibe

// docs / baas security / clerk hardening

Clerk seguridad checklist: 20 mba'erã

Clerk ojapo auth, sesión, ha organización ne aplicación-pe — péva he'ise peteĩ Clerk integración oñembosakopa vai ha'e peteĩ auth ohasáva, peteĩ sesión-fijación tape, térã peteĩ org-ñembyay tape. Ko checklist ha'e peteĩ 20-mba'erã auditoría llave, sesión configuración, webhook, organización, JWT template, ha jepiveguáva monitoreo rupi. Tembipuru IA omoĩ Clerk pya'e ñembojere ekuatiapýva ndive; ko lista ojuhu umi mba'e omoheja okápe.

Aikuaa porãve hag̃ua mba'érepa auth-layer oñembosakopa vai ha'e peteĩ IA-tembipuru pa'ũ, ehecha Mba'érepa tembipuru IA omoheja seguridad pa'ũ. Pe peteĩchagua checklist Auth0 rehegua, ehecha Auth0 seguridad checklist.

Ambiente llave ha origen lista omoneĩva

Clerk omeẽ mokõi llave ojuavýva proyecto rupi. Ojehe'a térã osẽva ha'e pe ñepyrũ jejavy.

  1. Eipuru pe publishable llave (pk_live_* producción-pe, pk_test_* dev-pe) navegador-pe; eipuru pe secreto llave (sk_live_* / sk_test_*) servidor-pe-nte. Pe publishable llave sãsõ NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY-pe; pe secreto llave araka'eve oguereko peteĩ público env prefijo ha araka'eve osẽ peteĩ cliente componente-pe.
  2. Ehechakuaa pe producción aplicación oipuru pk_live_*, nahániri pk_test_*. Test instancia omoneĩ email dirección no verificado ha MFA deshabilitado — eñemoherakuã test modo producción-pe ha'e peteĩ auth ohasáva.
  3. Embojere allowed origen Clerk Dashboard-pe. Settings → Domains → Allowed origins olista va'erã ne producción dominio ekuatiapýva. Lista vacía térã wildcard origen omoneĩ atacante omoheñói rogue Clerk frontend oñe'ẽva ne backend-pe.
  4. Embojere pe secreto llave mba'eveichagua jeho térã osẽva eipy'amongetávape. Dashboard → API Keys → Reset. Llave yma oñembogue; eñemoherakuã server-side código pe valor pyahu ndive embojere mboyve.

Sesión configuración

Sesión expiración ha okára tiempo ha'e pe ojuavýva peteĩ sesión mondapy peteĩ 10-aravo'i incidente ha peteĩ 30-ára mbytépe.

  1. Embojere sesión okára timeout 30 aravo'i térã ipohýive aplicación SaaS-pe omba'apóva datos sensible-ndive. Dashboard → Sessions → Inactivity timeout. Banking-nivel aplicación oipuru va'erã 5-10 aravo'i; SaaS opavavetéva 30-60 aravo'i; consumidor aplicación 1-7 ára. Predeterminado ha'e 7 ára.
  2. Ehabilita sesión ñemboi password ñemoambue, email ñemoambue, ha MFA inscripción rehe. Dashboard → Sessions → Revoke on. Ko'ã ha'e usuario-omoñepyrũ seguridad evento; sesión oĩva ambue mba'epuru-pe ojejuka va'erã.
  3. Ehechakuaa sesión servidor-pe cada tape oñangarekopyréva, nahániri inscripción-pe-nte. Next.js-pe: const { userId } = await auth(); peteĩ servidor componente / API tape-pe omoñe'ẽ pe JWT cookie-gui ha ohechakuaa. Araka'eve eipuru cookie-añoiteva ñehecha.
  4. Embojere SameSite=Lax (predeterminado) térã Strict sesión cookie-pe. Ehechakuaa DevTools → Application → Cookies-pe. SameSite=None ha'e peteĩ CSRF tape — araka'eve eipuru ekuatiapývandive eikuaa'ỹme ne ñembojere oñoñebojuaju dominio-gua auth.

Webhook ñehechakuaa

Clerk webhook omba'apo usuario tekove evento-pe (created, updated, deleted, session.ended). Ha'e pe sincronización mecanismo ne base de datos-pe — ha peteĩ webhook ñembyaipyre ha'e peteĩ base de datos-escritura primitiva.

  1. Ehechakuaa pe Svix firma cada webhook-pe. Clerk webhook ojefirma Svix rupi. Eipuru new Webhook(secret).verify(body, headers). Embogue 401-ndive ñehechakuaa ipykavyrõ.
  2. Eñongatu pe webhook secreto peteĩ ambiente variable-pe, araka'eve código-pe. Pe secreto ojere cada Dashboard ñemoheñói pyahúpe — ne deploy omoñe'ẽ va'erã env-gui, nahániri peteĩ constante-gui.
  3. Idempotencia cada manipulador-pe. Webhook ñemyengovia ikatu omyengovia. Eipuru pe svix-id encabezado peteĩ llave primaria-icha peteĩ webhook_events tabla-pe deduplicar hag̃ua. Ekuera pe estado ñemoambue ha pe idempotencia ñemoinge peteĩ transacción peteĩchagua-pe.
  4. user.deleted-pe, embogue añetete térã anónimo PII 24 hora pype. GDPR / CCPA oikotevẽ. Eauditá pe ñembogue tape: mba'e tabla oguereko ko usuario datos? Eipuru FK ON DELETE CASCADE ikatuháme.

Organización ha permiso

Eipurúrõ Clerk Organizaciones, pe org pa'ũ ha'e ne tenant aislamiento. Cada servidor consulta omboja va'erã péva rupi.

  1. Cada API tape-pe, emoñe'ẽ mokõive userId ha orgId auth()-gui ha emboja consulta base de datos mokõive rupi. WHERE org_id = $orgId AND user_id = $userId. Araka'eve eipuruka peteĩ org_id pe solicitud cuerpo-gui.
  2. <strong>Use Clerk role checks for privileged operations, not boolean checks against the user object.</strong> <code>has({ role: 'org:admin' })</code> reads the role from the verified JWT. A user can spoof a boolean on a stale client object; they cannot spoof a JWT claim.
  3. Eha'ã org-mbytépe aislamiento mokõi org cuenta añetete ndive. Emoheñói Org A, emoinge datos, eñemoinscribi Org B-pe ambue navegador-pe, eha'ã omoñe'ẽ Org A datos API rupi. Ñembohovái 403 térã 404 va'erã.

JWT template ha externo integración

JWT template omokyre'ỹ Clerk identidad Supabase, Firebase, ha ambue servicio-pe. Template oñembosakopa vai oñehupyty hetave claim térã ohechauka datos eipota'ỹ ohechauka.

  1. Cada JWT template, olista cada claim ha ehechakuaa tekotevẽha. Dashboard → JWT Templates. Peteĩ template omyengoviáva email ha phone Supabase-pe ohechauka PII mba'eveichagua omoñe'ẽvape pe JWT navegador-pe.
  2. Embojere expiración ipohýive JWT template cliente-pe oipuru ambue API tape-pe. 60 segundo ambue API solicitud-pe ha'e pe ekuatiapýva. JWT oikove are jeyve omondaha ha omyengovia.
  3. Ehechakuaa pe audiencia (aud) claim ohupytývape. Supabase, Firebase, etc. ohechakuaa va'erã aud ojoja servicio identificador oñehetĩva ndive. Péva'ỹre, peteĩ JWT omeẽva servicio A-pe ikatu oñemboautentica servicio B-pe.

Tembiapokuera monitoreo

Auth ha'e pe señal yvateguaveva ne log ohupytýva. Ema'ẽ péva rehe.

  1. Eñe'engatu jejavy-inscripción ñembojupi IP / cuenta rupi. Peteĩ 50× jepyverõ jejavy ha'e peteĩ credencial-stuffing ñorairõ. Clerk omeẽ ko'ã evento webhook-pe; emondo ne SIEM-pe.
  2. Cuatrimestre revisión sesión ha instancia configuración mboyveguáre. Predeterminado omoambue Clerk omoambue jave; "configuración yma" oikove ohóvo vai. Ediferenciá pe Dashboard JSON exportación ne yma-jeikuaa kuatia ndive.

Tape upéi

Embohape peteĩ FixVibe escaneo ne producción URL-pe — pe baas.clerk-auth0 check omombe'u Clerk publishable llave, test llave producción-pe, ha bundled secreto llave. Pe peteĩchagua checklist Auth0 rehegua, ehecha Auth0 seguridad checklist. Pe ñemoirũ jepyguarã BaaS proveedor rehegua, emoñe'ẽ BaaS oñembosakopa vai escáner.

// eheka ne baas superficie

Ejuhu pe tabla ojepe'apyréva ambue ohechauka mboyve.

Emoinge peteĩ producción URL. FixVibe oikũmby mba'e BaaS proveedor ne aplicación oñe'ẽ hendive, ohechauka iñendpoint público, ha omombe'u mba'épa peteĩ cliente nahániri autenticado ikatu omoñe'ẽ térã ohaikuaa. Reiete, ne instalación, ne tarjeta.

  • Plan reiete — 3 escaneo/mes, ne tarjeta inscripción.
  • BaaS huella pasiva — ndaikatúi dominio verificación.
  • Supabase, Firebase, Clerk, Auth0, Appwrite ha hetave.
  • IA prompt myatyrõrã opaichagua jejuhúpe — emboi Cursor / Claude Code-pe.
Eguereko peteĩ BaaS escaneo reiete

ndaikatúi registro

Clerk seguridad checklist: 20 mba'erã — Docs · FixVibe