{ "id": "ai-rules-for-auth-and-security", "type": "rules", "category": "rules", "locale": "pt", "url": "/pt/rules/ai-rules-for-auth-and-security", "title": "Regras de Codificação de IA para Autenticação e Segurança", "description": "Regras do AGENTS.md para autenticação e segurança que impedem agentes de implementar criptografia personalizada, vazar segredos ou ignorar verificações de autorização.", "tools": [ "Cursor", "Claude Code", "Codex", "Windsurf" ], "stack": [ "Next.js", "TypeScript", "PostgreSQL" ], "tags": [ "agents-md", "auth", "security", "typescript", "conventions" ], "difficulty": null, "updated": "2026-06-08", "markdown": "Coloque isso na raiz do seu repositório como `AGENTS.md`. As regras de segurança devem ser `strict` — os agentes são altamente capazes de escrever código funcionalmente correto, mas que introduz vulnerabilidades críticas de autenticação ou autorização.\n\n## AGENTS.md\n\n```md title=\"AGENTS.md\"\n# Project Rules — Auth and Security\n\n## Authentication — hard rules\n- NEVER implement custom password hashing. Use `bcrypt`, `argon2`, or the auth\n library's built-in hashing (Better Auth, Auth.js, Clerk, Supabase Auth). Custom\n hashing is almost always wrong and may be cryptographically broken.\n- NEVER store plaintext passwords, plaintext tokens, or plaintext secrets in the\n database. Hash passwords; hash or encrypt tokens before persistence.\n- NEVER roll custom JWT signing or verification. Use a well-audited library\n (`jose`, `jsonwebtoken`). Never use `alg: \"none\"` — reject tokens with no algorithm.\n- Session tokens must be at least 128 bits of cryptographic randomness. Use\n `crypto.getRandomValues()` (Web) or `crypto.randomBytes(32)` (Node.js).\n Do NOT use `Math.random()` for any security-relevant value.\n- NEVER store session tokens or JWTs in `localStorage`. Use `HttpOnly`, `Secure`,\n `SameSite=Lax` cookies. `localStorage` is readable by any XSS payload on the page.\n\n## Authorization — hard rules\n- Every API route and server action MUST check the current user's session before\n accessing data. Do not assume that reaching a route implies authorization.\n- Authorization checks must verify ownership or role, not just authentication.\n \"Is logged in\" is authentication. \"Is allowed to read this resource\" is authorization.\n Both are required.\n- Never pass a user-controlled ID directly into a database query without first\n verifying that the authenticated user has permission to access that record.\n This is an IDOR (Insecure Direct Object Reference) vulnerability.\n- In Next.js App Router: run auth checks in middleware OR at the top of every\n Server Component and Server Action that touches user data. Do not rely on\n client-side redirects for access control.\n\n## Secrets management\n- All secrets (API keys, database URLs, OAuth client secrets) live in environment\n variables. Validate them with Zod at startup via `src/lib/env.ts`.\n- NEVER commit secrets to the repository. If a secret is accidentally committed,\n treat it as compromised immediately — rotate it before doing anything else.\n- NEVER log secrets, tokens, or full request bodies that may contain credentials.\n Scrub sensitive fields before logging.\n- Client-side code must never contain secrets. In Next.js, only variables prefixed\n with `NEXT_PUBLIC_` are exposed to the client — and only non-sensitive values\n should use that prefix.\n\n## Input validation and output encoding\n- Validate all user input at the server boundary with Zod before use. Never trust\n client-provided data, including data in headers, cookies, or URL parameters.\n- Sanitize any HTML rendered from user input. Use a library (`DOMPurify`, `sanitize-html`)\n — do NOT write a custom HTML sanitizer.\n- When constructing URLs from user input, use the `URL` constructor to parse and\n validate. Never concatenate user input into a URL string that will be fetched\n server-side — this is an SSRF vector.\n\n## CSRF and clickjacking\n- All state-mutating endpoints (POST, PUT, PATCH, DELETE) must be protected against\n CSRF. In Next.js App Router, Server Actions are CSRF-protected by default; do not\n disable this. For custom API routes, verify the `Origin` header or use a CSRF token.\n- Add `X-Frame-Options: DENY` or `Content-Security-Policy: frame-ancestors 'none'`\n to pages that should not be embedded in iframes.\n\n## Definition of done\n- No `Math.random()` calls in authentication or token generation paths.\n- No `localStorage` for session/token storage (grep the codebase).\n- Every API route handler has an auth check at the top.\n- `NEXT_PUBLIC_` env vars contain no secrets (audit the list before shipping).\n- Zod validation runs on all form inputs before they touch the database.\n```\n\n## Por que essas regras\n\n- **Nenhum `localStorage` para tokens** elimina o erro de segurança mais difundido em aplicações React/Next.js. Agentes que copiam padrões de autenticação de tutoriais antigos (pré-2020) frequentemente armazenam JWTs em `localStorage`, que é trivialmente legível por qualquer script de terceiros na página. Cookies `HttpOnly` não são acessíveis a partir do JavaScript — eles são o mecanismo de armazenamento correto.\n- **Verificações de autorização confirmam a propriedade, não apenas a autenticação** fecha a vulnerabilidade IDOR que os agentes mais frequentemente perdem. Um agente solicitado a \"adicionar um endpoint para buscar o pedido de um usuário\" normalmente verificará `if (!session)` mas não `if (order.userId !== session.user.id)` — porque a segunda verificação exige entender a semântica de propriedade do modelo de dados, que é específica do projeto e não implícita na descrição da tarefa.\n\n## Boa adequação\n\n- Qualquer aplicação com contas de usuário, recursos protegidos ou dados de pagamento — essencialmente qualquer aplicação web de produção.\n\n## Não é adequado\n\n- Ferramentas internas protegidas por VPN corporativa ou controle de acesso em nível de rede, onde o modelo de ameaça é diferente e alguns desses controles podem ser tratados pela camada de infraestrutura." }