Tartalomra ugrás
learnthevibe

modul 3élesítés

auth: belépés jelszó nélkül

A felhasználó fiókot jelent, a fiók pedig a kódbázis azon részét, ahol egy bug bizalomba kerül. A magic link kihagyja a tárolt jelszót, a biztonságot a framework defaultjai viszik.

~2 perc olvasás · a gyakorlattal ~10 perc · v1.0 · ellenőrizve: 2026-07-15

az első ajtó, amit építesz

Fizetés, mentett haladás, bármi személyes: mindegyiknek tudnia kell, ki a látogató. Az authentikáció az ajtó, és azért áll a modul elején, mert a fizetés-lecke erre épül. A tét itt más, mint a kódod többi részén. Egy layout-bug kínos; egy auth-bug egy idegen kezébe adja valaki más fiókját.

A lecke szabálya: használj karbantartott auth-frameworköt, és tartsd a defaultjait. Ez az oldal Better Auth-on fut, és a minta átvihető: a framework dobozból hozza az origin-ellenőrzést, a session-kezelést és a CSRF-védelmet, a doksija pedig biztonsági figyelmeztetéssel jelöli a menekülőkapcsolókat (disableCSRFCheck, disableOriginCheck). Ha ezek lazítását kéri bárki – az agentedet is beleértve –, kezeld kivizsgálandó incidensként.