HTTP_009_SERVER_SIDE_AUTHZ: Autorisierung bleibt serverseitig

Severity: must. Bereich: http-api.

Regel

Jeder Endpunkt MUSS Zugriff, Tenant-Scope und Objektberechtigung serverseitig pruefen; ausgeblendete UI-Elemente ersetzen niemals Autorisierung.

Reflection-Check

check:
  reflect:
    fields:
    - auth_required
    - tenant_scope
    object: endpoint

Evidence

alle Regeln dieses Bereichs