Security: JWT Secret Validation bei Startup erzwingen #40

New issue

Open

opened 2026-03-30 19:54:41 +00:00 by David · 0 comments

David commented 2026-03-30 19:54:41 +00:00

Collaborator

Copy link

Beschreibung

Der JWT SECRET_KEY hat einen Default-Wert "bruno-secret-change-me" im Code. Wenn die .env nicht gesetzt ist, kann jeder JWT-Tokens fälschen. Startup muss abbrechen wenn der Secret nicht explizit konfiguriert wurde.

Hintergrund

auth_service.py:9 setzt SECRET_KEY = "bruno-secret-change-me". Dieser Wert ist im Source Code öffentlich sichtbar. Wenn ein Deployment ohne .env gestartet wird, sind alle Auth-Endpoints kompromittiert — jeder kann sich Admin-Tokens generieren.

Akzeptanzkriterien

• Startup schlägt fehl wenn JWT_SECRET_KEY nicht in der Umgebung gesetzt ist (kein Default)
• Startup schlägt fehl wenn JWT_SECRET_KEY kürzer als 32 Zeichen ist
• Klare Fehlermeldung: "JWT_SECRET_KEY must be set in environment. Generate with: python -c 'import secrets; print(secrets.token_hex(32))'"
• .env.example enthält Generierungs-Hinweis
• Test: App startet nicht mit Default-Secret

Technische Hinweise

• Fix in: backend/services/auth_service.py — Default entfernen
• Fix in: backend/main.py oder backend/config.py — Validation bei Startup
• Migration nötig: nein

Aufwand: S

## Beschreibung Der JWT SECRET_KEY hat einen Default-Wert `"bruno-secret-change-me"` im Code. Wenn die `.env` nicht gesetzt ist, kann jeder JWT-Tokens fälschen. Startup muss abbrechen wenn der Secret nicht explizit konfiguriert wurde. ## Hintergrund `auth_service.py:9` setzt `SECRET_KEY = "bruno-secret-change-me"`. Dieser Wert ist im Source Code öffentlich sichtbar. Wenn ein Deployment ohne `.env` gestartet wird, sind alle Auth-Endpoints kompromittiert — jeder kann sich Admin-Tokens generieren. ## Akzeptanzkriterien - [ ] Startup schlägt fehl wenn `JWT_SECRET_KEY` nicht in der Umgebung gesetzt ist (kein Default) - [ ] Startup schlägt fehl wenn `JWT_SECRET_KEY` kürzer als 32 Zeichen ist - [ ] Klare Fehlermeldung: "JWT_SECRET_KEY must be set in environment. Generate with: python -c 'import secrets; print(secrets.token_hex(32))'" - [ ] `.env.example` enthält Generierungs-Hinweis - [ ] Test: App startet nicht mit Default-Secret ## Technische Hinweise - Fix in: `backend/services/auth_service.py` — Default entfernen - Fix in: `backend/main.py` oder `backend/config.py` — Validation bei Startup - Migration nötig: nein ## Aufwand: S

David added the

kritisch

backend

bug

S

labels 2026-03-30 19:54:41 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#40

No description provided.