每个 Vibe Coder 在部署到生产环境前都必须读这篇文章：AI Vibe Coding 安全手册 。

瓜娃子喔

每个 Vibe Coder 在部署到生产环境前都必须读这篇文章：AI Vibe Coding 安全手册 。

认证与会话管理

01 – 会话时长控制。设置会话过期时间，JWT 会话最长不超过 7 天，必须启用刷新令牌轮换机制。

02 – 别用 AI 生成的认证代码。老老实实用 Clerk、Supabase 或者 Auth0。

03 – 因为有聊天功能，API 密钥必须严格保护。用 process.env 来存储密钥。

API 安全开发

04 – 密钥至少每 90 天轮换一次。

05 – 让 AI 在安装之前先检查所有推荐包的安全性。

06 – 优先选择更新、更安全的包版本。

07 – 每次构建后都跑一遍 npm audit fix。

08 – 所有输入都要做清理，永远使用参数化查询。

API 与访问控制

09 – 数据库的行级安全策略从第一天就要开启。

10 – 部署到生产环境前，删掉所有 console.log 语句。

11 – 用 CORS 限制访问，只允许白名单里的生产域名。

12 – 所有重定向 URL 都要对照白名单验证。

13 – 每个接口都要加上认证和频率限制。

数据与基础设施

14 – 在代码和控制面板里设置 AI API 的费用上限。

15 – 通过 Cloudflare 或 Vercel 边缘配置添加 DDoS 防护。

16 – 锁定存储访问权限，用户只能访问自己的文件。

17 – 验证上传文件大小时看签名，别只看扩展名。

18 – 处理支付数据前，先验证 webhook 签名。

其他规则

19 – 权限检查要在服务端做，UI 层面的检查不算安全措施。

20 – 记录关键操作日志：删除、角色变更、支付、导出。

21 – 做真正的账号删除流程。被罚款可不好玩。

22 – 自动备份之后记得测试。没测试过的备份等于没用。

23 – 测试环境和生产环境要完全隔离。

24 – 测试环境里的 webhook 绝对不能碰真实系统。

##