スキル api-security-best-practices
🔒

api-security-best-practices

安全

API セキュリティベストプラクティスの実装

JWT認証、入力検証、レート制限、OWASP推奨のセキュリティパターンを実装し、認証バイパス、注入攻撃、DDoSから保護する安全なAPIを構築します。

対応: Claude Codex Code(CC)
📊 70 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「api-security-best-practices」を使用しています。 セキュアなJWT認証を実装するにはどうすればいいですか?

期待される結果:

主な実装ステップ:1)環境変数から強力な256ビットJWTシークレットを使用、2)アクセストークンの有効期限を短く設定(1時間)、3)データベースに保存されたリフレッシュトークンを実装、4)発行者および対象者クレームを検証、5)HTTPSのみを使用、6)ログアウト用のトークンブラックリストを実装。例では、bcryptパスワード検証とJWT署名を含むログインエンドポイントを示しています。

「api-security-best-practices」を使用しています。 どのようなレート制限戦略を使用すべきですか?

期待される結果:

段階的レート制限を実装:1)一般的なAPI制限(15分あたり100リクエスト)、2)認証エンドポイントにより厳しい制限(15分あたり5試行)、3)サブスクリプション層に基づくユーザー別制限、4)分散レート制限にRedisを使用、5)適切なレート制限ヘッダーを返す。例ではRedisストアでexpress-rate-limitを使用しています。

「api-security-best-practices」を使用しています。 SQLインジェクションを防ぐにはどうすればいいですか?

期待される結果:

ユーザー入力をSQLクエリに連結しないでください。 以下を使用:1)パラメータ化クエリまたはORM(Prisma、Sequelize)、2)ZodまたはJoiによる入力検証、3)データ型の許可リスト、4)DOMPurifyによるXSS用のHTMLサニタイズ。例では、脆弱な文字列連結と安全なパラメータ化クエリを比較しています。

セキュリティ監査

安全
v1 • 2/24/2026

This is a legitimate educational skill about API security best practices. All 117 static findings are false positives: the backtick patterns are markdown code formatting, environment variable access demonstrates proper secret management, URLs are documentation links, and heuristic alerts fire because the skill comprehensively covers security topics together. No actual security risks detected.

1
スキャンされたファイル
910
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
85
コンテンツ
31
コミュニティ
100
セキュリティ
83
仕様準拠

作れるもの

新しいAPI開発のセキュリティ強化

REST、GraphQL、またはWebSocket APIをゼロから構築する際に、セキュリティの高い設計をガイドするためにこのスキルを使用します

既存のAPIの強化

認証、レート制限、入力検証を実装して、既存のAPIのセキュリティをレビューおよび改善します

セキュリティ監査の準備

OWASP Top 10ガイドラインに従い、推奨される保護を実装して、セキュリティ監査のためにAPIを準備します

これらのプロンプトを試す

JWT認証の実装 
APIにJWT認証を実装するのを助けてください。ログイン、トークン検証ミドルウェア、トークン更新エンドポイントが必要です。
SQLインジェクションの防止 
Node.js APIでSQLインジェクションを防ぐ方法を示してください。パラメータ化クエリの例と入力検証を含めるってください。
レート制限の追加 
Express APIにレート制限を実装します。認証エンドポイントとは別の制限を一般ユーザーに設定したいです。
OWASP APIセキュリティレビュー 
APIをOWASP API Security Top 10に対してレビューしてください。チェックすべき脆弱性と修正方法を教えてください。

ベストプラクティス

  • 常にHTTPSを使用し、すべてのAPIトラフィックにTLSを強制します
  • 処理前にすべてのユーザー入力を検証およびサニタイズします
  • 複数のセキュリティ層で多層防御を実装します

回避

  • JWTペイロードに機密データを保存する(暗号化されていません)
  • ソースコードにシークレットをハードコードする
  • 本番環境で詳細なエラーメッセージを公開する

よくある質問

このスキルはAPIの脆弱性をテストしますか?
いいえ、このスキルはセキュリティ実装のためのガイダンスとコード例を提供します。脆弱性スキャンには専用のセキュリティテストツールを使用してください。
このスキルはどのような認証方法をカバーしていますか?
JWT(JSON Web Tokens)、OAuth 2.0の概念、APIキー、bcryptパスワードハッシングによるセッションンベースの認証をカバーしています。
このスキルはNode.js APIだけですか?
例ではNode.js/Expressを使用していますが、セキュリティ原則は任意のフレームワークまたは言語に適用されます。概念は言語に依存しません。
このスキルはコンプライアンス役立ちますか?
OWASP Top 10と一般的なベストプラクティスに整合したセキュリティコントロールをカバーしており、コンプライアンス活動をサポートしますが、保証はしません。
GraphQL APIに使用できますか?
はい、認証と入力検証の概念はGraphQLに適用されます。クエリ深度制限などのGraphQL固有の追加トピックはカバーされていません。
APIセキュリティはどの程度更新する必要がありますか?
セキュリティを定期的にレビューし、依存関係を頻繁に更新し、新しい脆弱性を監視し、定期的なペネトレーションテストを実施してください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-best-practices

参照

main

ファイル構成

📄 SKILL.md