Convex 安全吗? 如何加固你的 Convex 应用
Convex 是一个用代码定义访问控制的响应式后端——你的安全存在于你的函数和鉴权规则之中。
简短回答
Convex 是一个安全、设计良好的后端。由于数据访问都经过你的服务端函数,安全取决于在其中写好正确的身份认证与授权检查。平台本身是稳固的;风险在于跳过鉴权或信任客户端输入的函数。
Convex 是一个安全、现代的响应式后端,数据访问都流经你编写的服务端函数。这种设计是稳固的,但它把安全交到了你手中:一个忘记检查已认证用户、或信任客户端传入参数的查询或变更,可能暴露或破坏数据。上线前,请确认每个函数都强制执行身份认证与授权,并校验其输入。
Convex 安全速览
- 平台类型
- 响应式后端(函数、数据库、鉴权)
- 最常见风险
- 函数缺失鉴权/授权检查
- 也要留意
- 信任未校验的客户端参数
- 如何检查
- 审计查询/变更的鉴权与校验
- 可以上线吗?
- 可以——在你的函数中做好检查
Convex 最常见的安全风险
函数中缺失授权
缺少身份检查的查询或变更,可能为任何调用者返回或修改数据。请在每个函数中强制鉴权。
未校验的参数
信任客户端传入的参数会让调用者触及不该访问的数据。请校验并限定输入范围。
过于宽泛的公开函数
公开函数任何人都能调用。请把敏感逻辑放在经过认证与授权的路径之后。
如何加固你的 Convex 应用
60 秒检查你的 Convex 应用
粘贴你已部署的网址,获取免费的上线就绪扫描,再在上线前拿到真人复核、带保险的放行许可。
Convex 安全常见问题
- Convex 安全吗?
- 安全。Convex 是一个安全的后端。由于访问控制存在于你的服务端函数中,关键在于上线前让每个函数都强制身份认证与授权,并校验输入。