auth-implementation-patterns
Внедрение безопасных паттернов аутентификации
Вам нужны четкие рекомендации по безопасному выбору аутентификации и авторизации. Этот навык предоставляет проверенные паттерны и примеры, которые можно быстро адаптировать для JWT, OAuth2 и управления сессиями.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «auth-implementation-patterns». Разработайте безопасный поток аутентификации JWT с refresh-токенами для REST API.
Ожидаемый результат:
- Используйте короткоживущие access-токены и долгоживущие refresh-токены, хранящиеся в захешированном виде в базе данных
- Проверяйте refresh-токены при каждой ротации и отзывайте при выходе
- Прикрепляйте claims пользователя к запросу после верификации
- Возвращайте 401 при истекших или недействительных токенах с понятными сообщениями об ошибках
Использование «auth-implementation-patterns». Как добавить вход через Google OAuth2 в мое Express-приложение?
Ожидаемый результат:
- Настройте Passport Google Strategy с client ID и secret из переменных окружения
- Установите callback URL для обработки OAuth перенаправления и генерации JWT-токенов
- Найдите или сохраните пользователя по Google ID, создавая нового при отсутствии
- Перенаправьте на фронтенд с прикрепленным access-токеном
Аудит безопасности
БезопасноPure documentation skill containing authentication code examples. All code is illustrative TypeScript demonstrating secure patterns (bcrypt with 12 rounds, JWT, proper cookie flags). No executable code, shell commands, network calls, or file system access beyond reading its own files. Static findings are false positives triggered by markdown code block backticks, environment variable references in examples, and security library mentions. The previous audit correctly identified this as safe.
Факторы риска
🌐 Доступ к сети (1)
⚙️ Внешние команды (18)
🔑 Переменные окружения (23)
Оценка качества
Что вы можете построить
Защита API
Выберите и внедрите JWT или сессионную аутентификацию с корректным middleware и обработкой токенов.
Добавить социальный вход
Интегрируйте потоки OAuth2 и обработку перенаправлений с понятными примерами.
Аудит дизайна аутентификации
Проверьте паттерны применения ролей и разрешений на соответствие распространенным ошибкам.
Попробуйте эти промпты
Рекомендуйте сессионную или JWT аутентификацию для небольшого SaaS-приложения. Включите компромиссы и предложение по умолчанию.
Предоставьте безопасный поток refresh-токенов и рекомендации по хранению для Node API.
Создайте RBAC middleware и иерархию ролей для пользователей, модераторов и администраторов.
Перечислите конкретные шаги для защиты входа в систему, включая ограничение частоты запросов и политику паролей.
Лучшие практики
- Делайте access-токены короткоживущими и ротируйте refresh-токены с безопасным хранением
- Применяйте строгие политики паролей с хешированием bcrypt или argon2
- Применяйте ограничения частоты запросов на эндпоинтах аутентификации для предотвращения атак перебора паролей
Избегать
- Хранение JWT в localStorage без защиты от XSS
- Пропуск срока действия токена или ротации refresh-токенов
- Авторизация запросов только на стороне клиента без проверки на сервере