clerk-security-basics

Implement security best practices with Clerk authentication.\nUse when securing your application, reviewing auth implementation,\nor hardening Clerk configuration.\nTrigger with phrases like \

1. Upewnij się, że masz zainstalowany Clerk SDK i rozumiesz podstawy autentykacji OWASP. Skill wymaga aktywnego lub planowanego wdrożenia w produkcji.

2. Zacznij od zabezpieczenia zmiennych środowiskowych — utwórz plik .env.local z kluczami Clerk (NEXT_PUBLIC_CLERK_PUBLISHABLE_KEY dla publicznego, CLERK_SECRET_KEY i CLERK_WEBHOOK_SECRET tylko dla serwera). Nigdy nie commituj tego pliku — dodaj go do .gitignore.

3. Dodaj walidację przy starcie aplikacji, aby upewnić się, że tajne klucze nie są dostępne po stronie klienta. Skill pomoże ci napisać funkcję assertServerOnly(), która rzuci błąd jeśli moduł zostanie załadowany w przeglądarce lub brakuje CLERK_SECRET_KEY.

4. Skonfiguruj middleware Clerk z createRouteMatcher, aby zdefiniować publiczne trasy (np. /sign-in, /sign-up, /api/webhooks) i chronić pozostałe endpointy. Skill dostarczy szablon hartowanej konfiguracji middleware'u.

5. Wyzwól skill frazą taką jak "clerk security" lub "secure clerk" w kontekście swojego kodu, aby otrzymać konkretne rekomendacje dotyczące ochrony tras API, weryfikacji webhook'ów i zarządzania sesjami.