المهارات api-jwt-authenticator
📦

api-jwt-authenticator

v1.0.0 مخاطر منخفضة

تأمين واجهات برمجة التطبيقات FastAPI باستخدام مصادقة JWT

تحتاج واجهات برمجة التطبيقات FastAPI إلى مصادقة آمنة لحماية نقاط النهاية وبيانات المستخدم. توفر هذه المهارة إرشادات حول تنفيذ التحقق من صحة رموز JWT، والتحقق من هوية المستخدم، والتحكم في الوصول على أساس الأدوار لواجهات برمجة التطبيقات REST.

يدعم: Claude Codex Code(CC)
🥉 79 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

موارد مهيّأة لـ Agents

استخدم هذه الروابط عندما يحتاج AI Agent أو crawler أو script إلى سياق نظيف بدلًا من قراءة الصفحة كاملة.

اختبرها

جارٍ استخدام "api-jwt-authenticator". أضف مصادقة JWT إلى نقطة نهاية ملف تعريف المستخدم في FastAPI

النتيجة المتوقعة:

  • تم استخراج رمز JWT من رأس Authorization
  • تم التحقق من توقيع الرمز باستخدام المفتاح السري
  • تم التحقق من انتهاء صلاحية الرمز (لم تنتهي الصلاحية)
  • تم استخراج هوية المستخدم من حمولة الرمز
  • تم إرجاع ملف تعريف المستخدم للطلب المصادق عليه
  • تم إرجاع 401 Unauthorized للرمز غير الصالح

جارٍ استخدام "api-jwt-authenticator". إنشاء نقطة نهاية للمسؤولين فقط باستخدام الوصول على أساس الأدوار

النتيجة المتوقعة:

  • تم استخراج دور المستخدم من حمولة رمز JWT
  • تمت مقارنة الدور مع إذن 'admin' المطلوب
  • تم منح مستخدم المسؤول الوصول إلى نقطة النهاية الحساسة
  • المستخدم غير المسؤول يتلقى استجابة 403 Forbidden
  • تم تسجيل تدقيق المصادقة لمراقبة الأمان

التدقيق الأمني

مخاطر منخفضة
v6 • 6/28/2026

Static analysis flagged Markdown backticks, JWT terminology, and HTTP authentication documentation as suspicious patterns. Review found no executable code, shell invocation, prompt injection, malware behavior, or data exfiltration in SKILL.md. The skill is a conceptual security guide and is safe to publish with low residual risk.

1
الملفات التي تم فحصها
136
الأسطر التي تم تحليلها
0
Review items
3
False positives ignored
Static false positives ignored (3)

These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.

منخفض
False Positive: Markdown Formatting Flagged as Shell Execution
The flagged locations use Markdown inline code for an Authorization header and JWT claim names. They do not contain Ruby code, shell execution, command substitution, or user-controlled command construction.
The evidence is plain Markdown documentation. The surrounding text describes token format and claims, not executable Ruby or shell behavior.
منخفض
False Positive: Weak Cryptography Pattern Not Confirmed
The flagged lines do not specify a weak signing algorithm or unsafe cryptographic implementation. Line 7 is the skill description, and line 128 discusses testing error response formats.
No cryptographic algorithm is named at either location. The skill recommends validating JWT signatures and expiration but does not prescribe insecure crypto.
منخفض
False Positive: System Reconnaissance Pattern Not Confirmed
The flagged locations describe HTTP status handling, token structure, information disclosure avoidance, and authentication tests. They do not collect host data, enumerate files, or inspect the runtime environment.
The context is API authentication guidance. No commands, filesystem reads, environment probing, or network discovery instructions are present.
لم تُكتشف مشكلات أمنية

درجة الجودة

55
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
70
المجتمع
95
الأمان
83
الامتثال للمواصفات

ما الذي يمكنك بناؤه

تأمين نقاط نهاية API

حماية نقاط نهاية FastAPI التي تتطلب وصول مستخدم مصادق عليه من خلال التحقق من صحة رمز JWT والتحقق من هوية المستخدم.

تنفيذ التحكم في الوصول

فرض سياسات التحكم في الوصول على أساس الأدوار لضمان أن المستخدمين يمكنهم فقط الوصول إلى الموارد المصرح لهم بعرضها.

تصميم أنظمة المصادقة

تصميم أنماط المصادقة عديمة الحالة للخدمات المصغرة باستخدام رموز JWT مع الاعتبارات الأمنية المناسبة.

جرّب هذه الموجّهات

الحماية الأساسية بـ JWT
Use the API JWT Authenticator skill to add JWT authentication to a FastAPI endpoint. Extract the Bearer token from the Authorization header, validate the signature using a secret key, verify expiration, and return user info or 401 error.
الوصول الخاص بالمستخدم
Apply the JWT Authenticator pattern to ensure users can only access their own resources. Extract user_id from token payload, compare with resource owner, and return 403 if they do not match.
الأذونات على أساس الأدوار
Implement role-based access control using the JWT Authenticator skill. Define admin, moderator, and user roles in token claims. Create dependencies that verify user role before allowing endpoint access.
نظام مصادقة كامل
Design a complete JWT authentication system for FastAPI following best practices from the API JWT Authenticator skill. Include token generation endpoint, protected routes, error handling, and production security considerations.

أفضل الممارسات

  • استخدم دائماً HTTPS في الإنتاج لمنع اعتراض الرموز أثناء النقل
  • قم بتخزين المفاتيح السرية في متغيرات البيئة أو الخزائن الآمنة، وليس أبداً في الكود المصدري
  • حدد أوقات انتهاء صلاحية مناسبة للرموز للحد من نوافذ التعرض للرموز المخترقة

تجنب

  • لا تعرض رموز JWT الأولية في عناوين URL أو سجلات الخادم حيث يمكّن ذلك من سرقة الرموز
  • تجنب تخزين المعلومات الحساسة في حمولات JWT حيث يمكن لأي شخص فك تشفير الرموز
  • لا تتخطى أبداً التحقق من توقيع الرمز حتى في بيئات التطوير أو الاختبار

الأسئلة المتكررة

ما هي مكتبات Python التي تعمل مع هذه المهارة؟
استخدم python-jose لترميز/فك ترميز JWT وpasslib لتجزئة كلمات المرور. كلاهما يتكامل بشكل جيد مع تبعيات FastAPI.
كم يجب أن تستمر صلاحية رموز JWT؟
عادةً ما تنتهي صلاحية رموز الوصول في 15-30 دقيقة للأمان. استخدم رموز التحديث للجلسات الأطول مع التدوير المناسب.
هل يمكنني استخدام هذا مع الخدمات المصغرة؟
نعم. JWT مثالي للخدمات المصغرة عديمة الحالة. شارك المفاتيح السرية أو استخدم التشفير بالمفتاح العام للتحقق من الرموز عبر الخدمات.
هل بيانات الرمز الخاص بي مشفرة؟
رموز JWT موقعة وليست مشفرة. يمكن لأي شخص فك تشفير الحمولة. لا تقم أبداً بتضمين بيانات حساسة مثل كلمات المرور في الرموز.
لماذا يفشل التحقق من صحة الرمز الخاص بي؟
تحقق من أن وقت الساعة متزامن على الخادم الخاص بك، تحقق من أن المفتاح السري يطابق تماماً، وتأكد من أن الرموز تتضمن المطالبات المطلوبة.
كيف يقارن هذا بالمصادقة المبنية على الجلسات؟
JWT عديم الحالة ويتوسع أفقياً عبر الخدمات. الجلسات تتطلب تخزين الخادم ولكنها توفر إلغاءً فورياً. اختر بناءً على احتياجات البنية.

تفاصيل المطور

المؤلف

Claude

الترخيص

MIT

Version

v1.0.0

مرجع

main

بنية الملفات

📄 SKILL.md