Skill: Multi-tenant & Sécurité
Utilise ce skill pour toute décision d’architecture touchant isolation des données et sécurité.
Quand l’utiliser
- •Middleware tenant (
organizationId,role,userId) - •Filtrage systématique des requêtes Prisma par tenant
- •Protection API (CORS, Helmet, rate limiting)
- •Sécurité fichiers uploadés
- •Audit log et conformité RGPD
Règles d’or
- •Zéro accès cross-tenant.
- •Double vérification d’autorisation: route + service.
- •Validation stricte des inputs avec Zod.
- •Masquage PII dans logs applicatifs.
- •Traçabilité des actions sensibles.
Contrôles sécurité minimaux
- •Rate limit global + spécifique auth
- •CORS en whitelist stricte
- •Headers sécurisés via Helmet
- •MIME check + antivirus pour uploads
- •URLs pré-signées courtes (15 min)
- •Chiffrement transit/repos géré infra
Audit
- •Logger: action, acteur, ressource, IP, date
- •Exemples:
document.upload,ecriture.validate,facture.send
Exemples de demandes
- •« Ajoute un Prisma extension pour injecter le scope tenant automatiquement »
- •« Implémente un middleware de vérification
organizationIdobligatoire » - •« Ajoute une table
AuditLog+ service de journalisation centralisé »