DocsEntwicklerhandbuch
Entwicklerhandbuch
Auth & Security
Session-Prüfung, Rollenrechte, MFA, Passkeys und sichere Route Handler.
Letzte Aktualisierung: 22. Mai 2026
Sicherheitsrelevante Routen müssen Session, aktive Organisation und Menu-/Aktionsrechte prüfen, bevor Daten gelesen oder verändert werden.
API-Route Checkliste
- Session laden und fehlende Session mit 401 beantworten.
- Organisation auflösen und Zugriff des Benutzers prüfen.
- Für Modulaktionen passende Rechte prüfen: view, create, update oder delete.
- Eingaben validieren und Fehlermeldungen ohne interne Details zurückgeben.
- Sicherheitsrelevante Ereignisse auditieren.
MFA und Passkeys
MFA und Passkey-Flows liegen in eigenen Auth-Routen. Sie arbeiten mit Challenges, Origin-/RP-ID-Prüfung und serverseitiger Verifikation.
