Концепции безопасности для Vibe-кодинга с Claude Code: Аутентификация, Авторизация и Принуждение

Пост на Reddit от инженера-программиста с десятилетним стажем разбирает три ключевые концепции безопасности для разработчиков, использующих Claude Code для vibe-coding: аутентификацию, авторизацию и контроль доступа. В посте используется метафора курортного отеля на побережье, чтобы сделать идеи запоминающимися.

Три концепции безопасности

• Аутентификация — регистрация на стойке регистрации. Пользователи доказывают, кто они (например, имя пользователя/пароль), и получают «ключ от номера» (токен или куки). Любая страница входа в веб-приложение — это этот шаг.
• Авторизация — что разрешено делать вошедшему пользователю. Ключ гостя не должен открывать служебные помещения или номера других гостей. В веб-приложениях это означает различие между обычными пользователями и администраторами, а также предотвращение доступа к данным других пользователей.
• Контроль доступа — фактическое применение этих правил. В посте предупреждается: распространенная ловушка vibe-coding — запрос пользователя на доступ к данным других пользователей (например, получить ключ от номера 102, когда у него только номер 101). Приложение должно обеспечивать, чтобы аутентифицированный пользователь мог получить доступ только к своим ресурсам.

«Просто войти в систему (аутентификация) недостаточно. Будут функции, которые должны быть доступны одним пользователям и не доступны другим. Если не уделить этому должного внимания, пользователи вашего приложения смогут читать и/или изменять данные других пользователей. Это недопустимо!»

Как применить это к вашему приложению, созданному с помощью vibe-coding

Пост адресован разработчикам, которые только начинают программировать и создают приложения с помощью Claude Code. Он предлагает попросить AI-агента проверить: «Кто имеет доступ? Что им разрешено делать? Это безопасно?» В частности, дать агенту команду проверить правила авторизации для каждой точки API или пути доступа к данным, а не только для процесса входа.