技能 api-security-best-practices
🔒

api-security-best-practices

安全

API セキュリティベストプラクティスの実装

JWT認証、入力検証、レート制限、OWASP推奨のセキュリティパターンを実装し、認証バイパス、注入攻撃、DDoSから保護する安全なAPIを構築します。

支持: Claude Codex Code(CC)
🥉 73 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“api-security-best-practices”。 セキュアなJWT認証を実装するにはどうすればいいですか?

预期结果:

主な実装ステップ:1)環境変数から強力な256ビットJWTシークレットを使用、2)アクセストークンの有効期限を短く設定(1時間)、3)データベースに保存されたリフレッシュトークンを実装、4)発行者および対象者クレームを検証、5)HTTPSのみを使用、6)ログアウト用のトークンブラックリストを実装。例では、bcryptパスワード検証とJWT署名を含むログインエンドポイントを示しています。

正在使用“api-security-best-practices”。 どのようなレート制限戦略を使用すべきですか?

预期结果:

段階的レート制限を実装:1)一般的なAPI制限(15分あたり100リクエスト)、2)認証エンドポイントにより厳しい制限(15分あたり5試行)、3)サブスクリプション層に基づくユーザー別制限、4)分散レート制限にRedisを使用、5)適切なレート制限ヘッダーを返す。例ではRedisストアでexpress-rate-limitを使用しています。

正在使用“api-security-best-practices”。 SQLインジェクションを防ぐにはどうすればいいですか?

预期结果:

ユーザー入力をSQLクエリに連結しないでください。 以下を使用:1)パラメータ化クエリまたはORM(Prisma、Sequelize)、2)ZodまたはJoiによる入力検証、3)データ型の許可リスト、4)DOMPurifyによるXSS用のHTMLサニタイズ。例では、脆弱な文字列連結と安全なパラメータ化クエリを比較しています。

安全审计

安全
v1 • 2/24/2026

This is a legitimate educational skill about API security best practices. All 117 static findings are false positives: the backtick patterns are markdown code formatting, environment variable access demonstrates proper secret management, URLs are documentation links, and heuristic alerts fire because the skill comprehensively covers security topics together. No actual security risks detected.

1
已扫描文件
910
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
85
内容
50
社区
100
安全
83
规范符合性

你能构建什么

新しいAPI開発のセキュリティ強化

REST、GraphQL、またはWebSocket APIをゼロから構築する際に、セキュリティの高い設計をガイドするためにこのスキルを使用します

既存のAPIの強化

認証、レート制限、入力検証を実装して、既存のAPIのセキュリティをレビューおよび改善します

セキュリティ監査の準備

OWASP Top 10ガイドラインに従い、推奨される保護を実装して、セキュリティ監査のためにAPIを準備します

试试这些提示

JWT認証の実装 
APIにJWT認証を実装するのを助けてください。ログイン、トークン検証ミドルウェア、トークン更新エンドポイントが必要です。
SQLインジェクションの防止 
Node.js APIでSQLインジェクションを防ぐ方法を示してください。パラメータ化クエリの例と入力検証を含めるってください。
レート制限の追加 
Express APIにレート制限を実装します。認証エンドポイントとは別の制限を一般ユーザーに設定したいです。
OWASP APIセキュリティレビュー 
APIをOWASP API Security Top 10に対してレビューしてください。チェックすべき脆弱性と修正方法を教えてください。

最佳实践

  • 常にHTTPSを使用し、すべてのAPIトラフィックにTLSを強制します
  • 処理前にすべてのユーザー入力を検証およびサニタイズします
  • 複数のセキュリティ層で多層防御を実装します

避免

  • JWTペイロードに機密データを保存する(暗号化されていません)
  • ソースコードにシークレットをハードコードする
  • 本番環境で詳細なエラーメッセージを公開する

常见问题

このスキルはAPIの脆弱性をテストしますか?
いいえ、このスキルはセキュリティ実装のためのガイダンスとコード例を提供します。脆弱性スキャンには専用のセキュリティテストツールを使用してください。
このスキルはどのような認証方法をカバーしていますか?
JWT(JSON Web Tokens)、OAuth 2.0の概念、APIキー、bcryptパスワードハッシングによるセッションンベースの認証をカバーしています。
このスキルはNode.js APIだけですか?
例ではNode.js/Expressを使用していますが、セキュリティ原則は任意のフレームワークまたは言語に適用されます。概念は言語に依存しません。
このスキルはコンプライアンス役立ちますか?
OWASP Top 10と一般的なベストプラクティスに整合したセキュリティコントロールをカバーしており、コンプライアンス活動をサポートしますが、保証はしません。
GraphQL APIに使用できますか?
はい、認証と入力検証の概念はGraphQLに適用されます。クエリ深度制限などのGraphQL固有の追加トピックはカバーされていません。
APIセキュリティはどの程度更新する必要がありますか?
セキュリティを定期的にレビューし、依存関係を頻繁に更新し、新しい脆弱性を監視し、定期的なペネトレーションテストを実施してください。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-best-practices

引用

main

文件结构

📄 SKILL.md