Habilidades api-jwt-authenticator
📦

api-jwt-authenticator

v1.0.0 Baixo Risco

Proteger APIs FastAPI com Autenticação JWT

APIs FastAPI precisam de autenticação segura para proteger endpoints e dados do usuário. Esta skill fornece orientação sobre implementação de validação de tokens JWT, verificação de identidade do usuário e controle de acesso baseado em funções para APIs REST.

Suporta: Claude Codex Code(CC)
🥉 79 Bronze
1

Baixar o ZIP da habilidade

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

Usando "api-jwt-authenticator". Adicionar autenticação JWT ao meu endpoint de perfil de usuário FastAPI

Resultado esperado:

  • Token JWT extraído do header Authorization
  • Assinatura do token validada com chave secreta
  • Expiração do token verificada (não expirado)
  • Identidade do usuário extraída do payload do token
  • Perfil do usuário retornado para solicitação autenticada
  • 401 Não Autorizado retornado para token inválido

Usando "api-jwt-authenticator". Criar endpoint apenas para admin usando acesso baseado em funções

Resultado esperado:

  • Função do usuário extraída do payload do token JWT
  • Função comparada com permissão 'admin' requerida
  • Usuário admin granted access to sensitive endpoint
  • Usuário não-admin recebe resposta 403 Proibido
  • Auditoria de autenticação logged for security monitoring

Auditoria de segurança

Baixo Risco
v6 • 6/28/2026

Static analysis flagged Markdown backticks, JWT terminology, and HTTP authentication documentation as suspicious patterns. Review found no executable code, shell invocation, prompt injection, malware behavior, or data exfiltration in SKILL.md. The skill is a conceptual security guide and is safe to publish with low residual risk.

1
Arquivos analisados
136
Linhas analisadas
0
Review items
3
False positives ignored
Static false positives ignored (3)

These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.

Baixo
False Positive: Markdown Formatting Flagged as Shell Execution
The flagged locations use Markdown inline code for an Authorization header and JWT claim names. They do not contain Ruby code, shell execution, command substitution, or user-controlled command construction.
The evidence is plain Markdown documentation. The surrounding text describes token format and claims, not executable Ruby or shell behavior.
Baixo
False Positive: Weak Cryptography Pattern Not Confirmed
The flagged lines do not specify a weak signing algorithm or unsafe cryptographic implementation. Line 7 is the skill description, and line 128 discusses testing error response formats.
No cryptographic algorithm is named at either location. The skill recommends validating JWT signatures and expiration but does not prescribe insecure crypto.
Baixo
False Positive: System Reconnaissance Pattern Not Confirmed
The flagged locations describe HTTP status handling, token structure, information disclosure avoidance, and authentication tests. They do not collect host data, enumerate files, or inspect the runtime environment.
The context is API authentication guidance. No commands, filesystem reads, environment probing, or network discovery instructions are present.
Nenhum problema de segurança encontrado

Pontuação de qualidade

55
Arquitetura
100
Manutenibilidade
87
Conteúdo
70
Comunidade
95
Segurança
83
Conformidade com a especificação

O que você pode criar

Proteger Endpoints de API

Proteger endpoints FastAPI que requerem acesso autenticado do usuário com validação de tokens JWT e verificação de identidade.

Implementar Controle de Acesso

Impor políticas de controle de acesso baseado em funções garantindo que usuários possam apenas acessar recursos que estão autorizados a visualizar.

Projetar Sistemas de Autenticação

Arquitetar padrões de autenticação sem estado para microsserviços usando tokens JWT com considerações adequadas de segurança.

Teste estes prompts

Proteção JWT Básica
Use a skill API JWT Authenticator para adicionar autenticação JWT a um endpoint FastAPI. Extraia o token Bearer do header Authorization, valide a assinatura usando uma chave secreta, verifique a expiração e retorne informações do usuário ou erro 401.
Acesso Específico do Usuário
Aplique o padrão JWT Authenticator para garantir que usuários possam acessar apenas seus próprios recursos. Extraia user_id do payload do token, compare com o proprietário do recurso e retorne 403 se não coincidirem.
Permissões Baseadas em Funções
Implemente controle de acesso baseado em funções usando a skill JWT Authenticator. Defina funções admin, moderador e usuário nas claims do token. Crie dependências que verifiquem a função do usuário antes de permitir acesso ao endpoint.
Sistema de Autenticação Completo
Projete um sistema completo de autenticação JWT para FastAPI seguindo as melhores práticas da skill API JWT Authenticator. Inclua endpoint de geração de rotas protegidas, tratamento de erros e considerações de segurança para produção.

Boas práticas

  • Sempre use HTTPS em produção para prevenir interceptação de tokens durante a transmissão
  • Armazene chaves secretas em variáveis de ambiente ou cofres seguros, nunca no código-fonte
  • Defina tempos de expiração de tokens apropriados para limitar janelas de exposição para tokens comprometidos

Evitar

  • Não exponha tokens JWT brutos em URLs ou logs de servidor pois isso permite roubo de tokens
  • Evite armazenar informações sensíveis em payloads JWT já que tokens podem ser decodificados por qualquer pessoa
  • Nunca pule a verificação de assinatura de token mesmo em ambientes de desenvolvimento ou teste

Perguntas frequentes

Quais bibliotecas Python funcionam com esta skill?
Use python-jose para codificação/decodificação JWT e passlib para hash de senhas. Ambos integram bem com dependências do FastAPI.
Quanto tempo devem durar tokens JWT?
Tokens de acesso tipicamente expiram em 15-30 minutos por segurança. Use tokens de atualização para sessões mais longas com rotação adequada.
Posso usar isso com microsserviços?
Sim. JWT é ideal para microsserviços sem estado. Compartilhe chaves secretas ou use criptografia de chave pública para verificação de tokens entre serviços.
Meus dados de token estão criptografados?
Tokens JWT são assinados, não criptografados. Qualquer um pode decodificar o payload. Nunca inclua dados sensíveis como senhas em tokens.
Por que minha validação de token está falhando?
Verifique se o tempo de relógio está sincronizado no seu servidor, verifique se a chave secreta corresponde exatamente e garanta que tokens incluem as claims necessárias.
Como isso se compara à autenticação baseada em sessão?
JWT é sem estado e escala horizontalmente entre serviços. Sessões requerem armazenamento de servidor mas oferecem revogação imediata. Escolha baseado nas necessidades de arquitetura.

Detalhes do desenvolvedor

Estrutura de arquivos

📄 SKILL.md