Навыки auth-implementation-patterns
🔐

auth-implementation-patterns

Безопасно

Реализация безопасных систем аутентификации

Также доступно от: wshobson

Изучите проверенные на практике паттерны аутентификации и авторизации для создания безопасного контроля доступа в ваших приложениях без изобретения велосипеда.

Поддерживает: Claude Codex Code(CC)
🥉 72 Бронза
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «auth-implementation-patterns». Как реализовать JWT аутентификацию в Express?

Ожидаемый результат:

Полная JWT реализация включает: 1) Генерация токенов с помощью jwt.sign() с секретами из переменных окружения, 2) Создание middleware authenticate, который верифицирует Bearer токены, 3) Использование короткоживущих access токенов (15 мин) с более долгими refresh токенами (7 дней), 4) Хранение refresh токенов захешированными в базе данных. Полный код см. в implementation-playbook.md Pattern 1.

Использование «auth-implementation-patterns». В чём разница между сессионной и токенной аутентификацией?

Ожидаемый результат:

Сессионная: сервер хранит состояние, ID сессии в cookie, просто, но требует sticky sessions. Токенная (JWT): без состояния, самодостаточные claims, масштабируется горизонтально, но нельзя легко отозвать отдельные токены. Выбирайте сессии для традиционных приложений, JWT для API и микросервисов.

Использование «auth-implementation-patterns». Как реализовать ролевую авторизацию?

Ожидаемый результат:

Определите роли в enum (USER, MODERATOR, ADMIN), создайте маппинг иерархии ролей, постройте middleware requireRole(), который проверяет роль пользователя против разрешённых ролей, примените middleware к защищённым роутам. Пример: app.delete('/users/:id', authenticate, requireRole('ADMIN'), handler)

Аудит безопасности

Безопасно
v1 • 2/24/2026

Educational documentation skill containing authentication and authorization code patterns. All 67 static findings are false positives: backticks are markdown code fences, environment variable access demonstrates proper secret handling, and weak crypto mentions are in cautionary context. No actual security risks present.

2
Просканировано файлов
661
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
100
Безопасность
100
Соответствие спецификации

Что вы можете построить

Создание JWT аутентификации с нуля

Реализация полной аутентификации на основе токенов с access токенами, refresh токенами и правильным управлением секретами

Добавление OAuth2 социального входа

Интеграция аутентификации Google и GitHub OAuth2 в существующие приложения

Проектирование модели авторизации

Создание систем контроля доступа RBAC или на основе разрешений для ресурсов приложения

Попробуйте эти промпты

Базовая настройка JWT 
Покажите, как реализовать JWT аутентификацию в Node.js с Express, включая генерацию токенов и middleware верификации
Поток Refresh Token 
Создайте поток refresh token, который безопасно хранит refresh токены в базе данных и выдаёт новые access токены
Интеграция OAuth2 
Реализуйте вход через Google OAuth2 с использованием Passport.js с генерацией JWT токена после аутентификации
Авторизация RBAC 
Спроектируйте систему ролевого управления доступом с ролями admin, moderator и user, включая middleware для проверки разрешений

Лучшие практики

  • Всегда используйте переменные окружения для секретов (JWT_SECRET, SESSION_SECRET), никогда не хардкодьте учётные данные
  • Используйте короткоживущие access токены (15-30 минут) с отдельными refresh токенами для лучшей безопасности
  • Храните refresh токены захешированными в базе данных и реализуйте ротацию токенов при использовании

Избегать

  • Хранение JWT в localStorage подвергает токены XSS атакам - используйте httpOnly cookies вместо этого
  • Отсутствие валидации истечения токена позволяет использовать просроченные токены бесконечно
  • Проверки авторизации только на клиенте могут быть обойдены - всегда валидируйте на сервере

Часто задаваемые вопросы

Когда следует использовать сессионную или токенную аутентификацию?
Используйте сессии для традиционных серверных приложений, где вам нужен простой logout и защита от CSRF. Используйте токены (JWT) для SPA, мобильных приложений и микросервисов, где вам нужна аутентификация без состояния и кросс-доменные запросы.
Как безопасно хранить JWT секреты?
Никогда не хардкодьте секреты в исходном коде. Используйте переменные окружения (process.env.JWT_SECRET) и загружайте их из .env файлов во время выполнения. Убедитесь, что .env находится в .gitignore, и секреты инжектятся из безопасных источников в production.
В чём разница между аутентификацией и авторизацией?
Аутентификация (AuthN) проверяет КТО пользователь (вход с учётными данными). Авторизация (AuthZ) определяет ЧТО пользователь может ДЕЛАТЬ (разрешения, роли). Оба важны, но служат разным целям в контроле доступа.
Как безопасно реализовать refresh токены?
Генерируйте refresh токены как случайные UUID, храните захешированные версии в базе данных, устанавливайте срок действия (7-30 дней), реализуйте ротацию (выдача нового refresh при каждом использовании) и позволяйте отмену для logout или событий безопасности.
Можно ли отозвать JWT токены?
JWT по своей природе без состояния. Для отзыва: используйте блок-лист токенов в Redis/базе данных, реализуйте короткий срок действия, чтобы токены истекали естественным образом, или используйте ротацию refresh токенов для инвалидации старых пар токенов.
Какой лучший способ обработки хранения паролей?
Всегда хешируйте пароли с помощью bcrypt или argon2 с высокими рабочими факторами (bcrypt cost 10-12). Никогда не храните пароли в открытом виде. Используйте соль, автоматически предоставляемую bcrypt. Верифицируйте с bcrypt.compare().

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/auth-implementation-patterns

Ссылка

main

Структура файлов

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md