← Startsida

Autentisering fungerar inte i AI-genererade appar

Varje användare kan se alla andras data. Sessioner löper ut slumpmässigt. OAuth omdirigerar inte. Varför AI-verktyg misslyckas med säkerhet.

⏱ 5 min läsning
//problemet

Noll behörigheter — standardläget i AI-genererade appar

AI-genererade appar har en sak gemensamt: inga integritetsregler alls. Varje inloggad användare kan se alla andra användares data. AI-verktyg konfigurerar helt enkelt inte detta — för ingen ber om det.

De flesta grundare upptäcker inte detta förrän någon påpekar det — eller tills något pinsamt händer. En kund loggar in och ser beställningar, kontaktuppgifter och anteckningar som tillhör andra kunder. Det här är inget undantagsfall. Det är standardbeteendet.

Supabase Auth, NextAuth, Firebase Auth — AI-verktyg kopplar in dessa snabbt. Inloggning fungerar. Men sessioner löper ut slumpmässigt, OAuth omdirigerar inte korrekt efter inloggning, tokens uppdateras inte. Användaren är "inloggad" i 10 minuter, sedan måste de logga in igen. Eller tvärtom — de förblir inloggade för evigt, även efter utloggning.

//varför AI gör fel

Varför säkerhet inte kan vara en eftertanke

Sann historia: en utvecklare fick i uppdrag att implementera RBAC (Role-Based Access Control) i en app med bokstavligen noll behörigheter. Han uppskattade arbetet till 2 veckor. Ledningen sa: "AI-killen säger att han kan göra det på 1-2 dagar." De gav honom dagen innan produktionsrelease.

Han vägrade. Sa att det vore oetiskt att låtsas att man kan säkra en applikation på en dag när det kräver ordentligt arbete. Och han hade rätt — säkerhet är inte en funktion man bultar fast i slutet. Det är en grund som måste finnas från början.

AI-verktyg kan koppla in inloggning. Men inloggning är inte säkerhet. Säkerhet är Row-Level Security i databasen, korrekt sessionshantering, åtkomstpolicyer på endpoints. AI konfigurerar inte dessa eftersom det kräver förståelse för vem som ska se vilken data — och det är en affärsfråga, inte en teknisk fråga.

//snabb fix

Så fixar du autentisering och behörigheter

  1. Aktivera Row-Level Security (RLS). I Supabase är det några klick. Definiera policyer: en användare ser bara sin egen data. En admin ser allt. Utan RLS är databasen vidöppen — varje inloggad användare har tillgång till allt.
  2. Fixa auth-konfigurationen. Kontrollera sessionens utgångstider, OAuth callback-URL:er, tokenuppdatering. Dessa inställningar måste vara konsekventa mellan frontend och backend. AI ställer ofta in dem på ett ställe men glömmer det andra.
  3. Säkra dina endpoints. Varje API-endpoint måste verifiera att användaren är inloggad och har behörighet att komma åt den begärda datan. Det räcker inte att kontrollera "finns det en token" — du måste verifiera att den tokenen ger tillgång till just den specifika datan.
  4. Definiera roller från början. Vem är användare? Vem är admin? Vem är moderator? Dessa roller måste finnas i databasen och respekteras på varje nivå — frontend, API och databas.
Varning

Om din app redan är i produktion utan RLS — kan varje inloggad användare förmodligen se alla andras data. Det här är inte en teoretisk risk. Det är det aktuella tillståndet i din applikation.

//relaterade ämnen

Läs också

//nästa steg

Användare ser varandras data?

Det här är brådskande. Vi implementerar Row-Level Security, fixar sessioner och behörigheter — innan någon annan märker det.

Boka ett gratis samtal →
Gratis konsultation Utan förpliktelser Svar inom 24h