clerk-security-basics

Skill do wdrażania standardów bezpieczeństwa w Clerk authentication. Pomaga w konfiguracji zmiennych środowiskowych, hartowaniu middleware'u, ochronie tras API, weryfikacji webhook'ów i zabezpieczeniu sesji. Użyj gdy chcesz przejrzeć implementację autentykacji, wzmocnić konfigurację Clerk lub zastosować praktyki OWASP. Wyzwalaj frazami: "clerk security", "secure clerk", "clerk best practices", "clerk hardening".

1. Upewnij się, że masz zainstalowany Clerk SDK i rozumiesz podstawy autentykacji OWASP. Skill wymaga aktywnego lub planowanego wdrożenia w produkcji.

2. Zacznij od zabezpieczenia zmiennych środowiskowych — utwórz plik .env.local z kluczami Clerk (NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY dla publicznego, CLERK_SECRET_KEY i CLERK_WEBHOOK_SECRET tylko dla serwera). Nigdy nie commituj tego pliku — dodaj go do .gitignore.

3. Dodaj walidację przy starcie aplikacji, aby upewnić się, że tajne klucze nie są dostępne po stronie klienta. Skill pomoże ci napisać funkcję assertServerOnly(), która rzuci błąd jeśli moduł zostanie załadowany w przeglądarce lub brakuje CLERK_SECRET_KEY.

4. Skonfiguruj middleware Clerk z createRouteMatcher, aby zdefiniować publiczne trasy (np. /sign-in, /sign-up, /api/webhooks) i chronić pozostałe endpointy. Skill dostarczy szablon hartowanej konfiguracji middleware'u.

5. Wyzwól skill frazą taką jak "clerk security" lub "secure clerk" w kontekście swojego kodu, aby otrzymać konkretne rekomendacje dotyczące ochrony tras API, weryfikacji webhook'ów i zarządzania sesjami.