Навыки api-security-best-practices

🔒

api-security-best-practices

Name: api-security-best-practices
Author: sickn33

Безопасно

Внедрение лучших практик безопасности API

Создавайте безопасные API, защищающие от обхода аутентификации, инъекционных атак и DDoS, внедряя JWT-аутентификацию, валидацию входных данных, ограничение частоты запросов и рекомендуемые OWASP паттерны безопасности.

Поддерживает: Claude Codex Code(CC)

📊 70 Адекватно

Скачать ZIP навыка

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

Включите и начните использовать

Протестировать

Использование «api-security-best-practices». Как внедрить безопасную JWT-аутентификацию?

Ожидаемый результат:

Ключевые шаги внедрения: 1) Используйте надежные 256-битные JWT-секреты из переменных окружения, 2) Установите короткий срок действия (1 час) для токенов доступа, 3) Внедрите токены обновления, хранящиеся в базе данных, 4) Проверяйте утверждения издателя и аудитории, 5) Используйте только HTTPS, 6) Внедрите черный список токенов для выхода. Пример кода показывает конечную точку входа с верификацией пароля bcrypt и созданием JWT.

Использование «api-security-best-practices». Какую стратегию ограничения частоты запросов следует использовать?

Ожидаемый результат:

Внедрите многоуровневое ограничение частоты запросов: 1) Общий лимит API (100 запросов за 15 минут), 2) Более строгий лимит для конечных точек аутентификации (5 попыток за 15 минут), 3) Лимиты на пользователя в зависимости от уровня подписки, 4) Используйте Redis для распределенного ограничения частоты запросов, 5) Возвращайте соответствующие заголовки ограничения частоты запросов. Пример использует express-rate-limit с хранилищем Redis.

Использование «api-security-best-practices». Как предотвратить SQL-инъекцию?

Ожидаемый результат:

Никогда не объединяйте пользовательский ввод в SQL-запросы. Используйте: 1) Параметризованные запросы или ORM (Prisma, Sequelize), 2) Валидацию входных данных с помощью Zod или Joi, 3) Белые списки для типов данных, 4) Очищайте HTML от XSS с помощью DOMPurify. Пример показывает уязвимую конкатенацию строк по сравнению с безопасным параметризованным запросом.

Аудит безопасности

Безопасно

v1 • 2/24/2026

This is a legitimate educational skill about API security best practices. All 117 static findings are false positives: the backtick patterns are markdown code formatting, environment variable access demonstrates proper secret management, URLs are documentation links, and heuristic alerts fire because the skill comprehensively covers security topics together. No actual security risks detected.

Просканировано файлов

910

Проанализировано строк

находки

Всего аудитов

Проблем безопасности не найдено

Проверено: claude

Оценка качества

Архитектура

100

Сопровождаемость

Контент

Сообщество

100

Безопасность

Соответствие спецификации

Что вы можете построить

Безопасная разработка новых API

Используйте этот навык для руководства безопасным проектированием при создании новых REST, GraphQL или WebSocket API с нуля

Усиление защиты существующих API

Проверяйте и улучшайте безопасность существующих API, внедряя аутентификацию, ограничение частоты запросов и валидацию входных данных

Подготовка к аудиту безопасности

Подготовьте API к аудиту безопасности, следуя рекомендациям OWASP Top 10 и внедряя рекомендуемые защитные меры

Попробуйте эти промпты

Внедрение JWT-аутентификации

Помогите мне внедрить JWT-аутентификацию для моего API. Мне нужны конечные точки для входа, верификации токена и обновления токена.

Предотвращение SQL-инъекции

Покажите мне, как предотвратить SQL-инъекцию в моем Node.js API. Включите примеры параметризованных запросов и валидации входных данных.

Добавление ограничения частоты запросов

Внедрите ограничение частоты запросов для моего Express API. Я хочу разные ограничения для обычных пользователей и конечных точек аутентификации.

Проверка безопасности API по OWASP

Проверьте мой API на соответствие OWASP API Security Top 10. Какие уязвимости мне следует проверить и как их исправить?

Лучшие практики

Всегда используйте HTTPS и обеспечивайте TLS для всего трафика API
Проверяйте и очищайте все пользовательские вводные данные перед обработкой
Внедряйте эшелонированную защиту с несколькими уровнями безопасности

Избегать

Хранение конфиденциальных данных в JWT-полезной нагрузке (не зашифровано)
Хардкодинг секретов в исходном коде
Раскрытие подробных сообщений об ошибках в продакшене

Часто задаваемые вопросы

Проверяет ли этот навык мой API на уязвимости?

Нет, этот навык предоставляет рекомендации и примеры кода для внедрения безопасности. Используйте специализированные инструменты тестирования безопасности для сканирования уязвимостей.

Какие методы аутентификации охватывает этот навык?

Он охватывает JWT (веб-токены JSON), концепции OAuth 2.0, API-ключи и аутентификацию на основе сессий с хэшированием паролей bcrypt.

Этот навык предназначен только для Node.js API?

Примеры используют Node.js/Express, но принципы безопасности применимы к любому фреймворку или языку. Концепции являются языково-независимыми.

Помогает ли этот навык с соответствием требованиям?

Он охватывает средства контроля безопасности, соответствующие OWASP Top 10 и общим лучшим практикам, которые поддерживают усилия по соответствию, но не гарантируют соответствие.

Могу ли я использовать это для GraphQL API?

Да, концепции аутентификации и валидации входных данных применимы к GraphQL. Дополнительные темы, специфичные для GraphQL, такие как ограничение глубины запросов, не рассматриваются.

Как часто следует обновлять безопасность моего API?

Регулярно проверяйте безопасность, часто обновляйте зависимости, отслеживайте новые уязвимости и проводите периодическое тестирование на проникновение.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-best-practices

Ссылка

main

Структура файлов

📄 SKILL.md