Behöver ert företag hjälp med att implementera AI? Kontakta oss och få prisoffert här →
AI Skolan
januari 23, 2026

Bygg en tokensäker JWT-autentiseringsritning med AI-prompt

Rickard Andersson Partner, Nodenordic.se

Sessionskapningar fortsätter att hända eftersom många ”JWT-uppsättningar” i tysthet placerar tokens där angripare älskar dem: i webbläsarens lagring, exponerade för XSS, och kopierade in i headers för hand. Sedan bultas refresh-logik på i efterhand, cookie-flaggor blir fel, och du får slumpmässiga utloggningar eller (värre) stulna sessioner som lever länge. Det är rörigt, och det går att undvika.

Den här JWT-autentiseringsblueprinten är byggd för backendutvecklare som behöver en cookie-baserad JWT-modell med vettiga rotationsregler, säkerhetsmedvetna tech leads som städar upp riskfylld tokenhantering inför en revision eller incident, och startupgrundare som vill ha autentisering som är ”secure by default” utan att förstöra UX. Resultatet är en produktionsredo blueprint: headers, cookie-inställningar, endpointflöden, stack-specifika kodsnuttar, tester och en incidentplan vid misstänkt kompromettering av inloggningsuppgifter.

Vad gör den här AI-prompten och när ska du använda den?

Steg 1: Anpassa prompten med din information
Anpassa prompten

Fyll i fälten nedan för att anpassa prompten efter dina behov.

Variabel Vad du ska ange Anpassa prompten
[BACKEND_TEKNIK] Ange vilket backend-språk eller ramverk som används för att bygga applikationens serversida.
Till exempel: "Node.js med Express eller Python med Django"
[FRONTEND_TEKNIK] Ange vilket frontend-ramverk eller bibliotek som används för att bygga applikationens användargränssnitt.
Till exempel: "React.js eller Angular"
[VERSALER_MED_UNDERSTRECK] Ange ett variabel- eller inmatningsnamn som är formaterat med versaler och understreck mellan ord.
Till exempel: "USER_SESSION_ID eller ACCESS_TOKEN"
[APPLIKATIONSTYP] Beskriv vilken typ av applikation som utvecklas, inklusive syfte och målgrupp.
Till exempel: "E-handelswebbapplikation för småföretag"
[NUVARANDE_SAKERHETSNIVA] Beskriv den nuvarande säkerhetsstrategin eller de mekanismer som är implementerade i applikationen.
Till exempel: "Använder JWT lagrat i localStorage med grundläggande CSRF-skydd"
[UTMANING] Beskriv den specifika autentiserings- eller säkerhetsutmaning som applikationen står inför eller försöker lösa.
Till exempel: "Förhindra sessionskapning samtidigt som användarupplevelsen förblir smidig"
[KONTEXT] Ange relevant bakgrund eller situationsdetaljer som påverkar säkerhetsarkitekturen eller implementationen.
Till exempel: "Applikationen används i en högriskmiljö med frekventa nätfiskeförsök som riktas mot användare"
Steg 2: Kopiera prompten
MÅL
🔒
PERSONA
🔒
BEGRÄNSNINGAR
🔒
Vad detta INTE är (avgränsningar)
🔒
PROCESS
🔒
INDATA
🔒
OUTPUTSPECIFIKATION
🔒
1) Säkerhetsarkitektur
🔒
2) Cookie-implementering (HTTP-only)
🔒
3) Sessionshantering & tyst refresh
🔒
4) Middleware-design (validering + användarkontext)
🔒
5) Hotdetektion & automatiserad respons
🔒
6) Kodexempel (anpassade)
🔒
7) Säkerhetstestplan
🔒
8) Driftsättningschecklista
🔒
KVALITETSKONTROLLER
🔒

Proffstips för bättre resultat från AI-prompten

  • Var brutalt specifik om hur din app är uppbyggd. Berätta för AI:n om det är en ren SPA, SSR + API, eller en hybrid med flera subdomäner, eftersom cookie-scope och CORS-regler ändras snabbt. Lägg till detaljer som ”api.example.com + app.example.com” och om du måste stödja cross-site-requests. Om du inte gör det får du en generisk design som går sönder i produktion.
  • Fyll i [BACKEND_TECHNOLOGY] och [FRONTEND_TECHNOLOGY] med versioner, inte etiketter. ”Node” är otydligt; ”Node 20 + Express 4 bakom Nginx” är användbart. Samma för frontend: ”Next.js 14 App Router” eller ”React + Vite serverat från CloudFront.” Följdfråga: ”Skriv nu om implementationsdelen med Next.js route handlers och Express middleware.”
  • Be den välja ett CSRF-mönster och motivera det. Cookie-auth tvingar fram CSRF-diskussionen, och luddiga svar är så team skickar luckor. Prompt: ”Välj double-submit cookie eller synchronizer token för mitt fall, och inkludera exakta cookie-namn, valideringssteg och hur det beter sig med same-site-requests.”
  • Iterera på livslängder utifrån din faktiska risktolerans. Första vändan blir ett rimligt standardförslag, men du kan justera efter användarbeteende och hotnivå. Efter första resultatet, testa: ”Gör access tokens 5 minuter, refresh 14 dagar med rotation; förklara nu UX-effekten och hur du undviker överraskande utloggningar.”
  • Tvinga incidentplanen att vara körbar. Övervakning hjälper bara om den leder till åtgärder som teamet faktiskt genomför klockan 02.00. Fråga: ”Lägg till detekteringsregler för replay av refresh-token och omöjliga resor; inkludera automatiserade svar (återkalla session, step-up auth) och vad som ska loggas för senare forensik.” Ärligt talat är det här de flesta ”auth-guider” faller isär.

Relaterade prompts

När din autentiseringsblueprint är stabil hjälper de här promptarna dig att ta bort prestanda- och processfriktion som ofta dyker upp under implementation och utrullning:

Om du också behöver strama upp leveranspipen runt säkerhetsarbete (granskningar, QA, releasekoordinering) hjälper Fixa flaskhalsar i workflow och genomströmning dig att kartlägga var ärenden fastnar och vad du ska ändra först. Den passar bra när ditt authprojekt fortsätter att halka efter eftersom godkännanden, överlämningar och okontrollerade loopar med ”en ändring till” tar över.

För team som gör återkommande authrelaterade fixar över flera tjänster är Åtgärda flaskhalsar i arbetsflöden och öka throughput användbar direkt efter att du har valt måldesignen. Använd den för att standardisera genomförandet: checklistor, ansvar och en pragmatisk takt så att blueprinten blir mergad kod, inte ett bortglömt dokument.

När din största smärta är friktion i vardagen (långsamma kodgranskningar, otydliga definitioner av klart, miljödrift) kompletterar Lös flaskhalsar i det dagliga arbetsflödet det här JWT-arbetet bra. Du kommer märka det under authrefactors, eftersom du rör känsliga endpoints och tester, och små ineffektiviteter multipliceras.


Snabbreferens:

Vanliga frågor

Vilka roller har mest nytta av den här AI-prompten för JWT-auth blueprint?

Backendutvecklare använder den för att implementera cookie-baserade JWT-sessioner med korrekta flaggor, livslängder och rotation så att tokens aldrig når JavaScript. Säkerhetsingenjörer lutar sig mot den för att validera CSRF-nivå, skydd mot replay av refresh-token samt loggnings-/övervakningssignaler de kan larma på. Tech leads använder den för att standardisera auth över tjänster och minska säkerhetsdrift av typen ”det funkar på min dator”. Fullstackutvecklare har nytta av den eftersom den bygger bro mellan frontendbegränsningar (CORS, cookie-beteende) och serverside-krav i en plan som går att driftsätta.

Vilka branscher får mest värde av den här AI-prompten för JWT-auth blueprint?

SaaS-bolag får värde eftersom en enda stulen session kan exponera flera tenants, och cookie- + rotationsmönster hjälper att begränsa skadeomfånget. Den här prompten tvingar också fram tydlighet kring livslängder och återkallelse, vilket är viktigt när supportteam hanterar kontoövertaganden. E-handelsvarumärken använder den för att minska checkout-bedrägerier och skydda kundkonton utan att införa ständiga ominloggningar som försämrar konverteringen. Fintech och betalningsnära appar har nytta av övervaknings- och inneslutningsstegen, eftersom kraven på incidenthantering är högre och ”vi kollar loggarna senare” inte räcker. Sjukvård och patientportaler använder den för att strama upp sessionshantering och revisionsvänlig loggning, samtidigt som upplevelsen förblir användbar för icke-tekniska patienter.

Varför ger grundläggande AI-prompts för att designa JWT-autentisering svaga resultat?

En typisk prompt som ”Skriv en JWT-auth setup för min app” misslyckas eftersom den: saknar nyckelkontext som subdomäner, cross-site-requests och din faktiska tech stack, vilket gör att cookie- och CORS-råd blir fel. Den ger ingen tvingande struktur för refresh-rotation och replay-detektering, vilket är där många verkliga attacker landar. Den ignorerar CSRF-avvägningar som uppstår så fort du använder cookies, vilket ger osäkra standarder eller luddiga ”aktivera CSRF”. Den producerar generiska mönster som ”lagra token i localStorage” i stället för en design som håller tokens borta från JavaScript. Och den missar ofta övervakning plus inneslutningssteg, så du saknar en plan när sessioner missbrukas.

Kan jag anpassa den här JWT-auth blueprint-prompten för min specifika situation?

Ja, men du måste mata in rätt variabler i formatet den förväntar sig, särskilt [BACKEND_TECHNOLOGY] och [FRONTEND_TECHNOLOGY]. Lägg till din domänmodell (en domän vs api-/app-subdomäner), dina UX-krav för inloggning (tyst refresh, ”kom ihåg mig”, enhetsbegränsningar) och eventuella begränsningar som ”måste stödja inbäddade tredjepartswidgets”. En bra följdfråga är: ”Givet [BACKEND_TECHNOLOGY] och [FRONTEND_TECHNOLOGY], skriv ut de exakta cookie-namnen, SameSite-värden, CORS-inställningar och pseudokod för refresh-endpointen.” Om du har ett befintligt system, be den ta fram en migreringsplan i faser så att du kan leverera säkert.

Vilka är de vanligaste misstagen när man använder den här JWT-auth blueprint-prompten?

Det största misstaget är att lämna [BACKEND_TECHNOLOGY] för vagt — i stället för ”Python”, prova ”Python 3.12 + FastAPI + Uvicorn bakom Cloudflare”. Ett annat vanligt fel är att specificera [FRONTEND_TECHNOLOGY] för dåligt; ”React” är inte samma sak som ”Next.js med server actions”, och cookie-beteende samt routing spelar roll. Folk glömmer också att beskriva sin domänsetup, vilket gör att du får oanvändbara SameSite-/CORS-råd; ”single origin https://app.example.com” är bra input, ”vi har en webbplats” är det inte. Slutligen hoppar team över UX-krav, så modellen kan välja livslängder som orsakar ständiga inloggningar; säg ”tyst refresh krävs, tolerera ominloggning först efter 14 dagar eller vid lösenordsbyte”.

Vem ska INTE använda den här JWT-auth blueprint-prompten?

Den här prompten är inte idealisk för team som behöver fatta ett fullständigt beslut om SSO-/IAM-leverantör eller en federationsdesign för enterprise, eftersom den fokuserar på driftsättbara cookie-baserade JWT-mönster, inte produktval. Den passar också dåligt om du vill ha en snabb mall på en sida utan iteration, eftersom bästa resultat kommer av att tydliggöra stack, domänmodell och hotantaganden. Och om du inte kan använda HTTP-only-cookies alls (till exempel i en begränsad klientmiljö som förbjuder dem) behöver du en annan approach. I de fallen, börja i stället med en formell arkitekturgranskning eller en dedikerad utvärdering av auth-ramverk.

Auth är ett av de där systemen du bara märker när det fallerar — och angripare märker det först. Använd den här prompten för att få en tokensäker, cookie-baserad JWT-blueprint som du faktiskt kan implementera, klistra sedan in den i ditt AI-verktyg och börja täta de verkliga skarvarna.

Kontakta oss

Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.

Våra tjänster Om Node Nordic
×

Använd mall

Få direkt tillgång till denna n8n-arbetsflödes JSON-fil

Kopiera och importera JSON-arbetsflödet i ditt n8n-arbetsflöde

Få prisoffert redan idag!
Få prisoffert redan idag!

Berätta vad ni behöver hjälp med så hör vi av oss inom en arbetsdag!

Få prisoffert redan idag!
Få prisoffert redan idag!

Berätta vad ni behöver hjälp med så hör vi av oss inom en arbetsdag!