Compétences auth-implementation-patterns
🔐

auth-implementation-patterns

Sûr

Implementar Sistemas de Autenticação Seguros

Également disponible depuis: wshobson

Aprenda padrões de autenticação e autorização testados em batalha para criar controle de acesso seguro em seus aplicativos sem reinventar a roda.

Prend en charge: Claude Codex Code(CC)
🥉 75 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "auth-implementation-patterns". Como implemento autenticação JWT no Express?

Résultat attendu:

Uma implementação completa de JWT inclui: 1) Gerar tokens usando jwt.sign() com segredos de variáveis de ambiente, 2) Criar middleware authenticate que verifica tokens Bearer, 3) Usar tokens de acesso de curta duração (15min) com tokens de refresh mais longos (7d), 4) Armazenar refresh tokens com hash no banco de dados. Veja Pattern 1 em implementation-playbook.md para código completo.

Utilisation de "auth-implementation-patterns". Qual é a diferença entre auth baseada em sessão e baseada em token?

Résultat attendu:

Baseada em sessão: Servidor armazena estado, ID da sessão em cookie, simples mas requer sticky sessions. Baseada em token (JWT): Sem estado, claims auto-contidas, escala horizontalmente, mas não pode revogar tokens individuais facilmente. Escolha sessões para aplicativos tradicionais, JWT para APIs e microsserviços.

Utilisation de "auth-implementation-patterns". Como implemento autorização baseada em função?

Résultat attendu:

Defina funções em um enum (USER, MODERATOR, ADMIN), crie um mapeamento de hierarquia de funções, construa middleware requireRole() que verifica a função do usuário contra funções permitidas, aplique middleware a rotas protegidas. Exemplo: app.delete('/users/:id', authenticate, requireRole('ADMIN'), handler)

Audit de sécurité

Sûr
v1 • 2/24/2026

Educational documentation skill containing authentication and authorization code patterns. All 67 static findings are false positives: backticks are markdown code fences, environment variable access demonstrates proper secret handling, and weak crypto mentions are in cautionary context. No actual security risks present.

2
Fichiers analysés
661
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
100
Conformité aux spécifications

Ce que vous pouvez construire

Criar autenticação JWT do zero

Implementar auth completa baseada em token com tokens de acesso, tokens de refresh e gerenciamento adequado de segredos

Adicionar login social OAuth2

Integrar autenticação OAuth2 do Google e GitHub em aplicativos existentes

Projetar modelo de autorização

Criar sistemas de controle de acesso RBAC ou baseados em permissão para recursos do aplicativo

Essayez ces prompts

Configuração Básica de JWT 
Mostre-me como implementar autenticação JWT em Node.js com Express, incluindo geração de token e middleware de verificação
Fluxo de Refresh Token 
Crie um fluxo de refresh token que armazena refresh tokens com segurança em um banco de dados e emite novos tokens de acesso
Integração OAuth2 
Implemente login OAuth2 do Google usando Passport.js com geração de token JWT após autenticação
Autorização RBAC 
Projetar um sistema de controle de acesso baseado em função com funções admin, moderator e user, incluindo middleware para verificação de permissão

Bonnes pratiques

  • Sempre use variáveis de ambiente para segredos (JWT_SECRET, SESSION_SECRET) nunca codifique credenciais diretamente
  • Use tokens de acesso de curta duração (15-30 minutos) com tokens de refresh separados para melhor segurança
  • Armazene refresh tokens com hash no banco de dados e implemente rotação de token no uso

Éviter

  • Armazenar JWT em localStorage expõe tokens a ataques XSS - use cookies httpOnly em vez disso
  • Não validar expiração do token permite que tokens expirados sejam usados indefinidamente
  • Verificações de autorização apenas no lado do cliente podem ser contornadas - sempre valide no servidor

Foire aux questions

Quando devo usar autenticação baseada em sessão vs baseada em token?
Use sessões para aplicativos tradicionais renderizados no servidor onde você precisa de logout simples e proteção CSRF. Use tokens (JWT) para SPAs, aplicativos móveis e microsserviços onde você precisa de autenticação sem estado e requisições cross-domain.
Como armazeno segredos JWT com segurança?
Nunca codifique segredos no código-fonte. Use variáveis de ambiente (process.env.JWT_SECRET) e carregue-as de arquivos .env em tempo de execução. Certifique-se de que .env está no .gitignore e segredos são injetados de fontes seguras em produção.
Qual é a diferença entre autenticação e autorização?
Autenticação (AuthN) verifica QUEM é um usuário (login com credenciais). Autorização (AuthZ) determina o que um usuário pode FAZER (permissões, funções). Ambos são essenciais mas servem a propósitos diferentes no controle de acesso.
Como implemento refresh tokens com segurança?
Gere refresh tokens como UUIDs aleatórios, armazene versões com hash no banco de dados, defina expiração (7-30 dias), implemente rotação (emita novo refresh token a cada uso) e permita revogação para logout ou eventos de segurança.
Tokens JWT podem ser revogados?
JWTs são sem estado por design. Para revogar: use uma blocklist de tokens em Redis/banco de dados, implemente expiração curta para que tokens expirem naturalmente, ou use rotação de refresh token para invalidar pares de tokens antigos.
Qual é a melhor maneira de lidar com armazenamento de senhas?
Sempre faça hash de senhas usando bcrypt ou argon2 com fatores de trabalho altos (custo bcrypt 10-12). Nunca armazene senhas em texto simples. Use salt fornecido automaticamente pelo bcrypt. Verifique com bcrypt.compare().

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/auth-implementation-patterns

Réf

main

Structure de fichiers

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md