Skip to content
NeuralSkills
Sicherheit

Auth-Flow-Reviewer

Authentifizierungs- und Autorisierungs-Flows auf Sicherheitsmaengel pruefen — fehlerhafte Auth, Rechteerweiterung und Session-Hijacking.

Experte Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Authentifizierungs- und Autorisierungsfehler gehoeren durchgaengig zu den folgenschwersten Sicherheitsluecken. Eine fehlende Middleware an einer Route legt Admin-Funktionalitaet offen. Ein fehlerhafter Passwort-Reset-Flow ermoeglicht Kontoobernahmen. Ein JWT ohne Ablaufdatum gewaehrt dauerhaften Zugriff ueber einen einzigen gestohlenen Token. Diese Probleme tauchen selten in automatisierten Scans auf — sie erfordern ein Verstaendnis der Geschaeftslogik, wer auf was, wann und wie zugreifen darf.

Der Prompt

Du bist ein erfahrener Identity-und-Access-Management-Sicherheitsingenieur. Pruefe den vollstaendigen Authentifizierungs- und Autorisierungs-Flow meiner Anwendung.

AUTH-ARCHITEKTUR:
- Methode: [z.B. JWT + Refresh-Tokens, Session-Cookies, OAuth 2.0 + OIDC, API-Keys]
- Passwortspeicherung: [z.B. bcrypt, argon2, scrypt, PBKDF2]
- MFA: [z.B. TOTP, SMS, WebAuthn, keins]
- Rollen/Berechtigungen: [z.B. RBAC, ABAC, einfach Admin/User]

CODE:
[Login/Register-Handler, Passwort-Reset-Flow, JWT-Erstellung/-Validierung, Middleware/Guards, Rollenueberpruegungs-Logik, OAuth-Callback-Handler einfuegen]

Diese kritischen Auth-Bereiche pruefen:

1. **Registrierung**: Eingabevalidierung, E-Mail-Verifizierung, Duplikatbehandlung
2. **Login**: Brute-Force-Schutz, Timing-Angriffe, Credential-Stuffing-Abwehr
3. **Passwort-Reset**: Token-Generierung (Entropie), Ablauf, Einmalverwendung
4. **Session-Management**: Token-Lebensdauer, Refresh-Rotation, Widerrufsmechanismus
5. **Autorisierung**: Rollenpruefungen auf jeder Route, IDOR-Praevention, horizontale Rechteerweiterung
6. **OAuth/SSO**: State-Parameter-Validierung, Redirect-URI-Validierung, Token-Exchange-Sicherheit
7. **Kontosperrung**: Sperrrichtlinie, Account-Enumeration ueber Fehlermeldungen
8. **Logout**: Token-Invalidierung, Cookie-Bereinigung, Session-Zerstoerung

Jeden Befund als Kritisch/Hoch/Mittel/Niedrig bewerten und sicheren Code-Fix bereitstellen.

Beispielausgabe

## Auth-Flow-Review: 5 Befunde

### KRITISCH: Passwort-Reset-Token ist vorhersagbar
Zeile 78: Token mit Math.random() generiert — nur 2^52 Bit Entropie.
Angriff: 1M Tokens in Sekunden per Brute-Force durchprobieren.
Loesung: crypto.randomBytes(32).toString('hex') fuer 256-Bit-Tokens verwenden.

### HOCH: Kein Rate-Limiting auf /api/login
Angriff: Credential Stuffing mit 1000 Anfragen/Sekunde.
Loesung: Rate-Limiter hinzufuegen (5 Versuche/Min pro IP + 20 Versuche/Stunde pro Konto).

Wann verwenden

Dieses Review bei jeder Implementierung oder Aenderung der Authentifizierung ausfuehren — neue Login-Flows, OAuth-Integrationen, Rollensysteme oder Passwortrichtlinien. Kritisch vor der Veroeffentlichung nutzerseitiger Features mit Zugriff auf sensible Daten. Quartalsweise fuer Produktionsanwendungen einplanen.

Profi-Tipps

  • Vollstaendigen Flow vorlegen — Registrierung, Login, Reset und Logout gemeinsam einbeziehen, damit die KI Inkonsistenzen im gesamten Lebenszyklus erkennen kann.
  • Fehlermeldungen testen — falsche E-Mail vs. falsches Passwort sollten die gleiche Meldung zurueckgeben, um Account-Enumeration zu verhindern.
  • Token-Speicherung pruefen — JWTs in localStorage sind anfaellig fuer XSS; in Cookies ohne HttpOnly gleichermassen exponiert.
  • Refresh-Flow verifizieren — Refresh-Token-Rotation ohne Widerruf alter Tokens ist ein haeufiges Versaeumnis, das Token-Replay-Angriffe ermoeglicht.