Sicherheitskonzepte für Vibe-Coding mit Claude Code: Authentifizierung, Autorisierung und Durchsetzung

Ein Reddit-Beitrag eines Softwareentwicklers mit zehn Jahren Erfahrung erklärt drei zentrale Sicherheitskonzepte für Entwickler, die mit Claude Code vibe-coden: Authentifizierung, Autorisierung und Durchsetzung. Der Beitrag verwendet die Metapher eines Strandhotels, um die Ideen einprägsam zu machen.

Die drei Sicherheitskonzepte

• Authentifizierung – der Check-in an der Rezeption. Nutzer weisen ihre Identität nach (z. B. Benutzername/Passwort) und erhalten einen „Zimmerschlüssel“ (ein Token oder Cookie). Jede Web-App-Anmeldeseite ist dieser Schritt.
• Autorisierung – was ein berechtigter Nutzer im Inneren tun darf. Der Zimmerschlüssel eines Gasts sollte keine Personalräume oder Zimmer anderer Gäste öffnen. In Web-Apps bedeutet das, normale Nutzer von Admins zu unterscheiden und Datenzugriff zwischen Nutzern zu verhindern.
• Durchsetzung – die tatsächliche Anwendung dieser Regeln. Der Beitrag warnt: Eine häufige Falle beim Vibe-Coden ist, wenn ein Nutzer Zugriff auf andere Nutzerdaten verlangt (wie Zimmerschlüssel 102 zu erhalten, obwohl er nur Zimmer 101 hat). Die App muss durchsetzen, dass der authentifizierte Nutzer nur auf seine eigenen Ressourcen zugreifen kann.

„Sich nur anzumelden (Authentifizierung) reicht nicht. Es wird Funktionalitäten geben, die manche Nutzer haben sollten und andere nicht. Wenn dem nicht die gebührende Aufmerksamkeit geschenkt wird, könnten Nutzer Ihrer App Daten anderer Nutzer lesen oder manipulieren. Nicht gut!“

Wie Sie dies auf Ihre vibe-gecodete App anwenden

Der Beitrag richtet sich an Entwickler, die neu im Programmieren sind und Apps mit Claude Code erstellen. Er schlägt vor, den KI-Agenten zu bitten, Folgendes zu überprüfen: „Wer darf rein? Was dürfen sie tun? Ist es sicher?“ Konkret: Den Agenten anweisen, auf jedem API-Endpunkt oder Datenzugriffspfad die Autorisierungsregeln zu prüfen – nicht nur den Anmeldevorgang.