认证与会话管理
01 – 会话时长控制。设置会话过期时间,JWT 会话最长不超过 7 天,必须启用刷新令牌轮换机制。
02 – 别用 AI 生成的认证代码。老老实实用 Clerk、Supabase 或者 Auth0。
03 – 因为有聊天功能,API 密钥必须严格保护。用 process.env 来存储密钥。
API 安全开发
04 – 密钥至少每 90 天轮换一次。
05 – 让 AI 在安装之前先检查所有推荐包的安全性。
06 – 优先选择更新、更安全的包版本。
07 – 每次构建后都跑一遍 npm audit fix。
08 – 所有输入都要做清理,永远使用参数化查询。
API 与访问控制
09 – 数据库的行级安全策略从第一天就要开启。
10 – 部署到生产环境前,删掉所有 console.log 语句。
11 – 用 CORS 限制访问,只允许白名单里的生产域名。
12 – 所有重定向 URL 都要对照白名单验证。
13 – 每个接口都要加上认证和频率限制。
数据与基础设施
14 – 在代码和控制面板里设置 AI API 的费用上限。
15 – 通过 Cloudflare 或 Vercel 边缘配置添加 DDoS 防护。
16 – 锁定存储访问权限,用户只能访问自己的文件。
17 – 验证上传文件大小时看签名,别只看扩展名。
18 – 处理支付数据前,先验证 webhook 签名。
其他规则
19 – 权限检查要在服务端做,UI 层面的检查不算安全措施。
20 – 记录关键操作日志:删除、角色变更、支付、导出。
21 – 做真正的账号删除流程。被罚款可不好玩。
22 – 自动备份之后记得测试。没测试过的备份等于没用。
23 – 测试环境和生产环境要完全隔离。
24 – 测试环境里的 webhook 绝对不能碰真实系统。
##