auth
Реализация безопасных паттернов аутентификации
Également disponible depuis: Chachamaru127,BOM-98
Для построения безопасной аутентификации необходимо понимание JWT-токенов, потоков OAuth2 и паттернов контроля доступа. Этот навык предоставляет готовые к продакшену реализации для аутентификации, авторизации, MFA и безопасности нулевого доверия, которые работают с любым фреймворком.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "auth". Show me how to implement JWT authentication with refresh tokens
Résultat attendu:
- Токены доступа истекают через 15 минут для безопасности
- Токены обновления действуют 7 дней и привязаны к устройству
- Токены используют алгоритм HS256 с криптографически стойкими секретами
- Хеши токенов обновления хранятся для поддержки отзыва
- Проверка типа токена предотвращает атаки путаницы токенов
Utilisation de "auth". How do I set up OAuth2 with Google for user login
Résultat attendu:
- Создать учетные данные клиента OAuth2 в Google Cloud Console
- Настроить URI перенаправления для обратного вызова приложения
- Сгенерировать URL авторизации с требуемыми областями видимости
- Обменять код авторизации на токен доступа через HTTPS
- Получить информацию профиля пользователя из API Google
Utilisation de "auth". What are best practices for password hashing
Résultat attendu:
- Использовать PBKDF2 с минимум 120 000 итераций
- Хранить только хеши паролей, никогда не хранить пароли в открытом виде
- Добавлять уникальную соль к каждому паролю перед хешированием
- Рассмотреть добавление перца, хранимого отдельно от хешей
- Реализовать ограничение частоты запросов для предотвращения атак грубой силы
Audit de sécurité
Risque faibleDocumentation-only skill containing security pattern examples with no executable code. Static findings are false positives triggered by legitimate security documentation. Network calls reference only official OAuth provider endpoints (Google, GitHub). Environment variable access is for JWT secret configuration using os.getenv. The skill follows OWASP-compliant security patterns including PBKDF2 with 120k rounds for password hashing.
Facteurs de risque
🌐 Accès réseau (1)
🔑 Variables d’environnement (1)
Score de qualité
Ce que vous pouvez construire
Создание безопасных API
Добавить middleware аутентификации и авторизации JWT для защиты эндпоинтов API с правильной обработкой ошибок
Добавление социального входа
Интегрировать потоки OAuth2 для Google и GitHub с безопасным обменом токенами и получением информации о пользователе
Усиление аутентификации
Реализовать MFA, валидацию нулевого доверия и аудит-логирование для соответствия требованиям комплаенса
Essayez ces prompts
Покажите, как реализовать управление JWT-токенами доступа и обновления с правильным истечением срока действия и хешированием токенов на Python
Создать реализацию провайдера OAuth2 для GitHub с генерацией URL авторизации и обменом токенов
Построить систему контроля доступа на основе ролей с иерархией ролей, проверкой разрешений и применением через декораторы
Реализовать MFA на основе TOTP с генерацией QR-кода и валидацией нулевого доверия для доверия устройству и сети
Bonnes pratiques
- Использовать короткоживущие токены доступа (15 минут) с ротацией токена обновления
- Хранить только хешированные токены в базах данных для предотвращения кражи токенов
- Реализовать ограничение частоты запросов на всех эндпоинтах аутентификации
Éviter
- Хранение токенов в localStorage без защиты от CSRF
- Использование одного и того же секретного ключа во всех окружениях
- Не проверять тип токена или издателя при верификации JWT