auth-implementation-patterns
セキュアな認証パターンを実装する
セキュアな認証と認可の選択について明確なガイダンスが必要です。このスキルでは、JWT、OAuth2、セッション管理に適用できる実証済みのパターンと例を提供します。
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「auth-implementation-patterns」を使用しています。 REST API向けにリフレッシュトークンでセキュアなJWT認証フローを設計する。
期待される結果:
- 短期アクセストークンとデータベースにハッシュ化して保存する長期リフレッシュトークンを使用する
- 各ローテーションでリフレッシュトークンを検証し、ログアウト時に無効化する
- 検証後、ユーザーにクレームをリクエストにアタッチする
- 期限切れまたは無効なトークンで明確なエラーメッセージとともに401を返す
「auth-implementation-patterns」を使用しています。 ExpressアプリにGoogle OAuth2ログインを追加するにはどうすればよいですか?
期待される結果:
- 環境変数のクライアントIDとシークレットでPassport Google Strategyを設定する
- OAuthリダイレクトを処理し、JWTトークンを生成するようコールバックURLを設定する
- Google IDでユーザーを保存または検索し、存在しない場合は新規ユーザーを作成する
- アクセストークンをアタッチしてフロントエンドにリダイレクトする
セキュリティ監査
安全Pure documentation skill containing authentication code examples. All code is illustrative TypeScript demonstrating secure patterns (bcrypt with 12 rounds, JWT, proper cookie flags). No executable code, shell commands, network calls, or file system access beyond reading its own files. Static findings are false positives triggered by markdown code block backticks, environment variable references in examples, and security library mentions. The previous audit correctly identified this as safe.
リスク要因
🌐 ネットワークアクセス (1)
⚙️ 外部コマンド (18)
🔑 環境変数 (23)
品質スコア
作れるもの
APIを保護する
適切なミドルウェアとトークン処理でJWTまたはセッション認証を選択、実装します。
ソーシャルログインを追加する
OAuth2フローとリダイレクト処理明確な例で統合します。
認証設計を監査する
ロールとパーミッションの実施パターンを一般的な落とし穴に対して確認します。
これらのプロンプトを試す
小規模SaaSアプリ向けにセッションまたはJWT認証を推奨します。トレードオフと推奨されるデフォルトを含めます。
Node API向けの安全なリフレッシュトークンフローとストレージガイダンスを提供します。
ユーザー、モデレーター、管理者向けのRBACミドルウェアとロール階層を起草します。
レート制限とパスワードポリシーを含む、ログインを保護するための具体的なステップをリストアップします。
ベストプラクティス
- アクセストークンは短期間に保ち、セキュアストレージでリフレッシュトークンをローテーションする
- bcryptまたはargon2ハッシュで強力なパスワードポリシーを適用する
- ブルートフォース攻撃を防ぐために認証エンドポイントにレート制限を適用する
回避
- XSS保護なしでlocalStorageにJWTを保存する
- トークンの有効期限やリフレッシュトークンのローテーションをスキップする
- サーバー検証なしでクライアント側でのみリクエストを認可する