المهارات api-security-best-practices
🔒

api-security-best-practices

آمن

Implémenter les meilleures pratiques de sécurité API

Construisez des API sécurisées qui protègent contre le contournement d'authentification, les attaques par injection et les DDoS en implémentant l'authentification JWT, la validation des entrées, la limitation du débit et les modèles de sécurité recommandés par l'OWASP.

يدعم: Claude Codex Code(CC)
🥉 73 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "api-security-best-practices". Comment implémenter une authentification JWT sécurisée ?

النتيجة المتوقعة:

Étapes clés d'implémentation : 1) Utilisez des secrets JWT forts de 256 bits depuis les variables d'environnement, 2) Définissez une expiration courte (1 heure) pour les jetons d'accès, 3) Implémentez des jetons d'actualisation stockés dans la base de données, 4) Vérifiez les claims issuer et audience, 5) Utilisez HTTPS uniquement, 6) Implémentez une liste noire de jetons pour la déconnexion. L'exemple de code montre un point de terminaison de login avec vérification de mot de passe bcrypt et signature JWT.

استخدام "api-security-best-practices". Quelle stratégie de limitation du débit devrais-je utiliser ?

النتيجة المتوقعة:

Implémentez une limitation du débit en plusieurs niveaux : 1) Limite API générale (100 requêtes par 15 minutes), 2) Limite plus stricte pour les points de terminaison d'authentification (5 tentatives par 15 minutes), 3) Limites par utilisateur basées sur le niveau d'abonnement, 4) Utilisez Redis pour la limitation du débit distribuée, 5) Renvoyez les en-têtes de limitation du débit appropriés. L'exemple utilise express-rate-limit avec un store Redis.

استخدام "api-security-best-practices". Comment prévenir les injections SQL ?

النتيجة المتوقعة:

Ne concaténez jamais les entrées utilisateur dans les requêtes SQL. Utilisez : 1) Requêtes paramétrées ou ORM (Prisma, Sequelize), 2) Validation des entrées avec Zod ou Joi, 3) Listes autorisées pour les types de données, 4) Sanitisez le HTML pour les XSS avec DOMPurify. L'exemple montre une concaténation de chaîne vulnérable vs une requête paramétrée sécurisée.

التدقيق الأمني

آمن
v1 • 2/24/2026

This is a legitimate educational skill about API security best practices. All 117 static findings are false positives: the backtick patterns are markdown code formatting, environment variable access demonstrates proper secret management, URLs are documentation links, and heuristic alerts fire because the skill comprehensively covers security topics together. No actual security risks detected.

1
الملفات التي تم فحصها
910
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
85
المحتوى
50
المجتمع
100
الأمان
83
الامتثال للمواصفات

ماذا يمكنك بناءه

Développement de nouvelles API sécurisées

Utilisez cette compétence pour guider une conception sécurisée lors de la création de nouvelles API REST, GraphQL ou WebSocket à partir de zéro

Renforcer les API existantes

Réviser et améliorer la sécurité des API existantes en implémentant l'authentification, la limitation du débit et la validation des entrées

Préparation à l'audit de sécurité

Préparer les API pour les audits de sécurité en suivant les directives OWASP Top 10 et en implémentant les protections recommandées

جرّب هذه الموجهات

Implémenter l'authentification JWT 
Aidez-moi à implémenter l'authentification JWT pour mon API. J'ai besoin de login, d'un middleware de vérification de jeton et de points de terminaison d'actualisation de jeton.
Prévenir les injections SQL 
Montrez-moi comment prévenir les injections SQL dans mon API Node.js. Incluez des exemples de requêtes paramétrées et de validation des entrées.
Ajouter la limitation du débit 
Implémentez la limitation du débit pour mon API Express. Je veux des limites différentes pour les utilisateurs réguliers par rapport aux points de terminaison d'authentification.
Révision de la sécurité API OWASP 
Passez en revue mon API par rapport à l'OWASP API Security Top 10. Quelles vulnérabilités dois-je vérifier et comment les corriger ?

أفضل الممارسات

  • Toujours utiliser HTTPS et imposer TLS pour tout le trafic API
  • Valider et assainir toutes les entrées utilisateur avant traitement
  • Implémenter une défense en profondeur avec plusieurs couches de sécurité

تجنب

  • Stockage de données sensibles dans la charge utile JWT (non chiffrée)
  • Codage en dur des secrets dans le code source
  • Exposition de messages d'erreur détaillés en production

الأسئلة المتكررة

Cette compétence teste-t-elle mon API pour les vulnérabilités ?
Non, cette compétence fournit des conseils et des exemples de code pour implémenter la sécurité. Utilisez des outils de test de sécurité dédiés pour l'analyse des vulnérabilités.
Quelles méthodes d'authentification cette compétence couvre-t-elle ?
Elle couvre JWT (JSON Web Tokens), les concepts OAuth 2.0, les clés API et l'authentification basée sur les sessions avec hachage de mot de passe bcrypt.
Cette compétence est-elle uniquement pour les API Node.js ?
Les exemples utilisent Node.js/Express, mais les principes de sécurité s'appliquent à n'importe quel framework ou langage. Les concepts sont indépendants du langage.
Cette compétence aide-t-elle pour la conformité ?
Elle couvre les contrôles de sécurité alignés sur l'OWASP Top 10 et les meilleures pratiques courantes, qui soutiennent les efforts de conformité mais ne garantissent pas la conformité.
Puis-je utiliser cela pour les API GraphQL ?
Oui, les concepts d'authentification et de validation des entrées s'appliquent à GraphQL. Les sujets supplémentaires spécifiques à GraphQL comme la limitation de profondeur des requêtes ne sont pas couverts.
À quelle fréquence devrais-je mettre à jour la sécurité de mon API ?
Révisez la sécurité régulièrement, mettez à jour les dépendances fréquemment, surveillez les nouvelles vulnérabilités et effectuez des tests d'intrusion périodiques.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-best-practices

مرجع

main

بنية الملفات

📄 SKILL.md