技能 fullstack-dev
🖥️

fullstack-dev

中风险 ⚙️ 外部命令🌐 网络访问🔑 环境变量📁 文件系统访问

构建生产就绪的全栈应用程序

构建全栈应用程序需要协调后端API、身份验证、数据库和前端集成。本技能提供结构化的工作流程和最佳实践,用于创建具有适当错误处理和测试的健壮、生产就绪的应用程序。

支持: Claude Codex Code(CC)
⚠️ 61
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“fullstack-dev”。 使用Express和React前端构建待办事项API

预期结果:

创建了使用Express后端(JWT认证、PostgreSQL)和React前端的完整待办事项应用程序。后端包含/api/todos CRUD端点、带有刷新令牌流程的/api/auth/login,以及适当的错误处理。前端包含TodoApp组件,带有处理401自动刷新的API客户端包装器。

正在使用“fullstack-dev”。 为现有的Node.js应用添加SSE实时更新

预期结果:

在现有的Express应用中实现了Server-Sent Events。创建了带有连接管理的/api/events端点,添加了客户端EventSource集成,并使用指数退避处理了重连。前端显示实时更新,无需手动刷新。

安全审计

中风险
v1 • 4/16/2026

Scanned 9 files (3841 lines). Static analyzer flagged 721 potential issues but most are false positives. All flagged patterns are in markdown documentation showing legitimate code examples for build/test commands, auth flows, and config patterns. No malicious intent found. Skill is safe for publication with standard warnings.

9
已扫描文件
3,841
分析行数
11
发现项
1
审计总数

高风险问题 (1)

SKILL.md:72-1016references/api-design.md:1-445references/auth-flow.md:1-166references/db-schema.md:1-707
High Volume of Pattern Matches in Documentation
The static analyzer flagged 721 potential security issues across the skill files. Upon evaluation, the majority of these are false positives triggered by documentation patterns (markdown code blocks showing shell commands, API examples, and config patterns). The skill contains no executable malicious code - all flagged patterns appear in markdown documentation context.
中风险问题 (3)
SKILL.md:72-83SKILL.md:128-142
Shell Command Documentation
Skill contains documentation for running build/test commands (npm run build, curl tests). These are example commands for the MANDATORY WORKFLOW section, not actual command execution. The skill is a guide/reference document, not executable code.
SKILL.md:259-265SKILL.md:716references/environment-management.md:49
Environment Variable Documentation
Skill references environment variable patterns (process.env.DB_HOST, os.environ) for configuration best practices. This is educational content about how to properly configure applications, not credential exfiltration.
SKILL.md:433SKILL.md:783SKILL.md:817
Network Request Patterns in Documentation
Skill includes examples of API calls (fetch, axios patterns) and WebSocket/SSE implementations for real-time features. These are legitimate code examples for building full-stack applications.
低风险问题 (3)
SKILL.md:81-82SKILL.md:422references/api-design.md:175
Hardcoded URLs in Documentation
References to localhost URLs and example endpoints (http://localhost:3000/health) in documentation. These are standard development examples.
references/api-design.md:2-3references/db-schema.md:3SKILL.md:3-8
Cryptography Pattern References
Skill references cryptographic algorithms (MD5, SHA1, bcrypt, etc.) in the context of security best practices and what NOT to use. Educational content, not actual insecure implementations.
references/db-schema.md:118-141references/testing-strategy.md:3-48
System Reconnaissance Keywords in Context
Static analyzer flagged terms like 'scan', 'probe', 'discover' in the context of database schema design and testing strategies. These are standard software engineering terms, not reconnaissance tools.

风险因素

⚙️ 外部命令 (5)
SKILL.md:72-83 SKILL.md:122-142 references/api-design.md:33-424 references/auth-flow.md:9-164 references/release-checklist.md:11-229
🌐 网络访问 (5)
SKILL.md:81-82 SKILL.md:433 SKILL.md:729-741 SKILL.md:783-817 references/auth-flow.md:75-164
🔑 环境变量 (4)
SKILL.md:259-265 SKILL.md:422 SKILL.md:716 references/environment-management.md:49
📁 文件系统访问 (1)
SKILL.md:705

检测到的模式

Heuristic: Code Execution + Network + Credential Access Combination
审计者: claude

质量评分

45
架构
100
可维护性
87
内容
50
社区
34
安全
70
规范符合性

你能构建什么

为新的全栈应用程序搭建脚手架

启动新项目时,使用强制性工作流程在编写任何代码之前定义技术栈、架构和身份验证策略。这确保所有组件从一开始就能协同工作。

为现有API添加身份验证

将JWT bearer流程与自动令牌刷新集成到现有的Express或Django API中。遵循身份验证中间件排序模式以确保适当的保护。

实现实时更新

为现有应用程序添加Server-Sent Events或WebSocket支持,用于实时通知、协作功能或仪表板更新,无需轮询开销。

试试这些提示

搭建新的全栈项目 
使用{backend_stack}和{frontend_stack}构建一个新的全栈应用程序。我需要用于{resource_name}的REST API端点,包含CRUD操作、JWT身份验证和适当的错误处理。
为API添加身份验证 
为我的现有{framework} API添加JWT身份验证。包括登录/登出端点、访问令牌(15分钟)和刷新令牌(7天httpOnly cookie)流程,以及保护现有路由的中间件。
实现实时通知 
使用{sse_or_websocket}为我的应用程序添加实时通知。当{event_type}发生时用户应收到更新,无需页面刷新。
设计数据库模式 
为{domain}设计包含{table_count}个表的数据库模式。包括用于常见查询的适当索引、外键关系,以及用于{db_type}的迁移脚本。

最佳实践

  • 在编写代码之前始终定义架构决策(技术栈、API风格、身份验证策略)——在decisions.json文件中记录这些内容
  • 实施具有类型化错误层次结构的错误处理——切勿在生产环境中向客户端暴露原始错误消息
  • 使用强制性验证工作流程——在声称完成之前运行构建检查、冒烟测试和集成测试

避免

  • 不要跳过身份验证中间件排序——始终先验证JWT再检查权限,而不是之后
  • 避免在代码中硬编码URL或凭据——使用环境变量并在启动时进行验证
  • 当SSE或WebSocket更合适时,不要使用轮询实现实时功能——轮询浪费资源

常见问题

本技能支持什么技术栈?
本技能支持任何后端(Express/Node.js、Django/Python、Go)和前端(React、Vue、Next.js)组合。原则通用,但示例可能显示特定框架。
本技能是否包含托管或部署?
不,本技能专注于开发模式和代码结构。对于部署,请考虑使用专门的DevOps技能来处理Docker、Kubernetes或特定云平台。
身份验证如何在前端和后端之间工作?
该技能记录了带有短期访问令牌(15分钟)和长期刷新令牌(7天)存储在httpOnly cookie中的JWT bearer流程。前端API客户端处理401响应时的自动令牌刷新。
何时应该使用SSE vs WebSocket?
SSE用于单向服务器到客户端更新(通知、实时数据)。WebSocket用于双向通信(聊天、协作编辑、游戏)。SSE更简单,可以自动通过HTTP/2工作。
本技能是否涵盖数据库特定优化?
该技能涵盖一般数据库模式(模式设计、迁移、索引),但不包含数据库特定调优。对于性能优化,请在基本设置后查阅数据库特定文档。
如何一起测试后端和前端?
使用第4步验证工作流程:运行后端构建(在/server中运行npm run build)、启动服务器、使用curl测试端点,然后通过CORS和API基础URL配置验证前端可以连接。

开发者详情

作者

MiniMax-AI

许可证

MIT

仓库

https://github.com/MiniMax-AI/skills/tree/main/skills/fullstack-dev

引用

main

文件结构

📁 references/

📄 api-design.md

📄 auth-flow.md

📄 db-schema.md

📄 django-best-practices.md

📄 environment-management.md

📄 release-checklist.md

📄 technology-selection.md

📄 testing-strategy.md

📄 SKILL.md