Навыки api-jwt-authenticator
📦

api-jwt-authenticator

v1.0.0 Низкий риск

Защитите FastAPI API с помощью аутентификации JWT

FastAPI API требуют надежной аутентификации для защиты эндпоинтов и данных пользователей. Этот навык дает рекомендации по реализации проверки JWT-токенов, подтверждения личности пользователя и ролевого контроля доступа для REST API.

Поддерживает: Claude Codex Code(CC)
🥉 79 Бронза
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для AI-агентов

Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.

Протестировать

Использование «api-jwt-authenticator». Add JWT authentication to my FastAPI user profile endpoint

Ожидаемый результат:

  • JWT-токен извлечен из заголовка Authorization
  • Подпись токена проверена с помощью секретного ключа
  • Срок действия токена проверен (не истек)
  • Личность пользователя извлечена из payload токена
  • Профиль пользователя возвращен для аутентифицированного запроса
  • 401 Unauthorized возвращен для недействительного токена

Использование «api-jwt-authenticator». Create admin-only endpoint using role-based access

Ожидаемый результат:

  • Роль пользователя извлечена из payload JWT-токена
  • Роль сопоставлена с требуемым разрешением 'admin'
  • Пользователь admin получает доступ к чувствительному эндпоинту
  • Пользователь не admin получает ответ 403 Forbidden
  • Журналирование аутентификации выполнено для мониторинга безопасности

Аудит безопасности

Низкий риск
v6 • 6/28/2026

Static analysis flagged Markdown backticks, JWT terminology, and HTTP authentication documentation as suspicious patterns. Review found no executable code, shell invocation, prompt injection, malware behavior, or data exfiltration in SKILL.md. The skill is a conceptual security guide and is safe to publish with low residual risk.

1
Просканировано файлов
136
Проанализировано строк
0
Review items
3
False positives ignored
Static false positives ignored (3)

These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.

Низкий
False Positive: Markdown Formatting Flagged as Shell Execution
The flagged locations use Markdown inline code for an Authorization header and JWT claim names. They do not contain Ruby code, shell execution, command substitution, or user-controlled command construction.
The evidence is plain Markdown documentation. The surrounding text describes token format and claims, not executable Ruby or shell behavior.
Низкий
False Positive: Weak Cryptography Pattern Not Confirmed
The flagged lines do not specify a weak signing algorithm or unsafe cryptographic implementation. Line 7 is the skill description, and line 128 discusses testing error response formats.
No cryptographic algorithm is named at either location. The skill recommends validating JWT signatures and expiration but does not prescribe insecure crypto.
Низкий
False Positive: System Reconnaissance Pattern Not Confirmed
The flagged locations describe HTTP status handling, token structure, information disclosure avoidance, and authentication tests. They do not collect host data, enumerate files, or inspect the runtime environment.
The context is API authentication guidance. No commands, filesystem reads, environment probing, or network discovery instructions are present.
Проблем безопасности не найдено

Оценка качества

55
Архитектура
100
Сопровождаемость
87
Контент
70
Сообщество
95
Безопасность
83
Соответствие спецификации

Что вы можете построить

Защита эндпоинтов API

Защитите эндпоинты FastAPI, требующие аутентифицированного доступа пользователей, с помощью проверки JWT-токенов и подтверждения личности пользователя.

Реализация контроля доступа

Обеспечьте ролевые политики контроля доступа, гарантируя, что пользователи могут получать доступ только к ресурсам, на которые у них есть права.

Проектирование систем аутентификации

Спроектируйте stateless-паттерны аутентификации для микросервисов с использованием JWT-токенов и соблюдением требований безопасности.

Попробуйте эти промпты

Базовая защита JWT
Используй навык API JWT Authenticator, чтобы добавить JWT-аутентификацию к эндпоинту FastAPI. Извлеки токен Bearer из заголовка Authorization, проверь подпись с использованием секретного ключа, проверь срок действия и верни информацию о пользователе или ошибку 401.
Доступ для конкретного пользователя
Примените паттерн JWT Authenticator, чтобы пользователи могли получать доступ только к своим ресурсам. Извлеките user_id из payload токена, сравните с владельцем ресурса и верните 403, если они не совпадают.
Ролевые разрешения
Реализуйте ролевой контроль доступа с использованием навыка JWT Authenticator. Определите роли admin, moderator и user в claims токена. Создайте зависимости, которые проверяют роль пользователя перед разрешением доступа к эндпоинту.
Полная система аутентификации
Спроектируйте полноценную систему аутентификации JWT для FastAPI, следуя лучшим практикам из навыка API JWT Authenticator. Включите эндпоинт генерации токенов, защищенные маршруты, обработку ошибок и требования безопасности для продакшена.

Лучшие практики

  • Всегда используйте HTTPS в продакшене, чтобы предотвратить перехват токена при передаче
  • Храните секретные ключи в переменных окружения или безопасных хранилищах, никогда в исходном коде
  • Устанавливайте подходящее время жизни токенов, чтобы ограничить окно компрометации

Избегать

  • Не размещайте сырые JWT-токены в URL или логах сервера, так как это позволяет украсть токен
  • Избегайте хранения конфиденциальной информации в payload JWT, поскольку токены может декодировать любой
  • Никогда не пропускайте проверку подписи токена даже в средах разработки или тестирования

Часто задаваемые вопросы

Какие Python библиотеки работают с этим навыком?
Используйте python-jose для кодирования/декодирования JWT и passlib для хеширования паролей. Оба хорошо интегрируются с зависимостями FastAPI.
Сколько должны жить JWT-токены?
Токены доступа обычно истекают через 15–30 минут для безопасности. Используйте refresh tokens для более длительных сессий с корректной ротацией.
Могу ли я использовать это с микросервисами?
Да. JWT идеально подходит для stateless-микросервисов. Используйте общие секретные ключи или криптографию с открытым ключом для проверки токенов между сервисами.
Зашифрованы ли данные моего токена?
JWT-токены подписаны, но не зашифрованы. Любой может декодировать payload. Никогда не включайте в токены конфиденциальные данные, такие как пароли.
Почему не проходит проверка токена?
Проверьте синхронизацию времени на сервере, убедитесь, что секретный ключ совпадает точно, и что токены включают обязательные claims.
Как это сравнивается с сессионной аутентификацией?
JWT stateless и масштабируется горизонтально между сервисами. Сессии требуют хранения на сервере, но позволяют немедленную отзыв. Выбирайте исходя из архитектуры.

Сведения для разработчиков

Автор

Claude

Лицензия

MIT

Version

v1.0.0

Ссылка

main

Структура файлов

📄 SKILL.md