← Hjem

Autentisering fungerer ikke i AI-genererte apper

Hver bruker kan se alle andres data. Sesjoner utløper tilfeldig. OAuth omdirigerer ikke. Hvorfor AI-verktøy feiler på sikkerhet.

⏱ 5 min lesing
//problemet

Null tillatelser — standardtilstanden i AI-genererte apper

AI-genererte apper har en ting til felles: null personvernregler. Hver innlogget bruker kan se alle andres data. AI-verktøy konfigurerer rett og slett ikke dette — fordi ingen ber om det.

De fleste grunnleggere oppdager ikke dette før noen peker det ut — eller til noe pinlig skjer. En kunde logger inn og ser bestillinger, kontaktdata og notater som tilhører andre kunder. Dette er ikke et kanttilfelle. Det er standardoppførselen.

Supabase Auth, NextAuth, Firebase Auth — AI-verktøy kobler opp disse raskt. Innlogging fungerer. Men sesjoner utløper tilfeldig, OAuth omdirigerer ikke riktig etter innlogging, tokens oppdateres ikke. Brukeren er "innlogget" i 10 minutter, så må de logge inn igjen. Eller omvendt — de forblir innlogget for alltid, selv etter utlogging.

//hvorfor AI gjør det feil

Hvorfor sikkerhet ikke kan komme i etterkant

Sann historie: en utvikler fikk i oppdrag å implementere RBAC (Role-Based Access Control) på en app med bokstavelig talt null tillatelser. Han estimerte 2 uker. Ledelsen sa: "AI-fyren sier han kan gjøre det på 1-2 dager." De ga ham dagen før produksjonsrelease.

Han nektet. Sa det ville være uetisk å late som om man kan sikre en applikasjon på en dag når det krever skikkelig arbeid. Og han hadde rett — sikkerhet er ikke en funksjon du bolter på til slutt. Det er et fundament som må finnes fra starten.

AI-verktøy kan koble opp innlogging. Men innlogging er ikke sikkerhet. Sikkerhet er Row-Level Security i databasen, riktig sesjonshåndtering, tilgangspolicyer på endepunkter. AI konfigurerer ikke disse fordi det krever forståelse for hvem som skal se hvilke data — og det er et forretningsspørsmål, ikke et teknisk spørsmål.

//rask fiks

Slik fikser du autentisering og tillatelser

  1. Aktiver Row-Level Security (RLS). I Supabase er det noen klikk. Definer policyer: en bruker ser bare sine egne data. En admin ser alt. Uten RLS er databasen vidåpen — hver innlogget bruker har tilgang til alt.
  2. Fiks auth-konfigurasjonen. Sjekk sesjonsutløpstider, OAuth callback-URL-er, tokenoppdatering. Disse innstillingene må være konsistente mellom frontend og backend. AI setter dem ofte på ett sted, men glemmer det andre.
  3. Sikre endepunktene dine. Hvert API-endepunkt må verifisere at brukeren er innlogget og har tillatelse til å få tilgang til den forespurte dataen. Det er ikke nok å sjekke "finnes det en token" — du må verifisere at den tokenen gir tilgang til akkurat den spesifikke dataen.
  4. Definer roller fra starten. Hvem er bruker? Hvem er admin? Hvem er moderator? Disse rollene må finnes i databasen og respekteres på hvert nivå — frontend, API og database.
Advarsel

Hvis appen din allerede er i produksjon uten RLS — kan sannsynligvis hver innlogget bruker se alle andres data. Dette er ikke en teoretisk risiko. Det er den nåværende tilstanden til applikasjonen din.

//relaterte emner

Les også

//neste steg

Brukere ser hverandres data?

Dette haster. Vi implementerer Row-Level Security, fikser sesjoner og tillatelser — før noen andre oppdager det.

Bestill en gratis samtale →
Gratis konsultasjon Helt uforpliktende Svar innen 24t