modul 3 — élesítés
auth: belépés jelszó nélkül
A felhasználó fiókot jelent, a fiók pedig a kódbázis azon részét, ahol egy bug bizalomba kerül. A magic link kihagyja a tárolt jelszót, a biztonságot a framework defaultjai viszik.
~2 perc olvasás · a gyakorlattal ~10 perc · v1.0 · ellenőrizve: 2026-07-15
az első ajtó, amit építesz
Fizetés, mentett haladás, bármi személyes: mindegyiknek tudnia kell, ki a látogató. Az authentikáció az ajtó, és azért áll a modul elején, mert a fizetés-lecke erre épül. A tét itt más, mint a kódod többi részén. Egy layout-bug kínos; egy auth-bug egy idegen kezébe adja valaki más fiókját.
A lecke szabálya: használj karbantartott auth-frameworköt, és tartsd a defaultjait. Ez az oldal Better Auth-on fut, és a minta átvihető: a framework dobozból hozza az origin-ellenőrzést, a session-kezelést és a CSRF-védelmet, a doksija pedig biztonsági figyelmeztetéssel jelöli a menekülőkapcsolókat (disableCSRFCheck, disableOriginCheck). Ha ezek lazítását kéri bárki – az agentedet is beleértve –, kezeld kivizsgálandó incidensként.