api-security-best-practices
实施 API 安全最佳实践
构建安全的 API,通过实施 JWT 认证、输入验证、限流和 OWASP 推荐的安全模式来防止认证绕过、注入攻击和 DDoS 攻击。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“api-security-best-practices”。 如何实现安全的 JWT 认证?
预期结果:
关键实施步骤:1) 使用来自环境变量的强 256 位 JWT 密钥,2) 为访问令牌设置短过期时间(1 小时),3) 实施存储在数据库中的刷新令牌,4) 验证签发者和受众声明,5) 仅使用 HTTPS,6) 为注销实施令牌黑名单。示例代码显示带有 bcrypt 密码验证和 JWT 签名的登录端点。
正在使用“api-security-best-practices”。 我应该使用什么限流策略?
预期结果:
实施分层限流:1) 通用 API 限制(每 15 分钟 100 次请求),2) 认证端点更严格的限制(每 15 分钟 5 次尝试),3) 基于订阅等级的用户限流,4) 使用 Redis 进行分布式限流,5) 返回正确的限流头。示例使用 express-rate-limit 和 Redis 存储。
正在使用“api-security-best-practices”。 如何防止 SQL 注入?
预期结果:
永远不要将用户输入连接到 SQL 查询中。使用:1) 参数化查询或 ORM(Prisma、Sequelize),2) 使用 Zod 或 Joi 进行输入验证,3) 数据类型的白名单,4) 使用 DOMPurify 清理 HTML 以防止 XSS。示例展示了不安全的字符串连接与安全的参数化查询的对比。
安全审计
安全This is a legitimate educational skill about API security best practices. All 117 static findings are false positives: the backtick patterns are markdown code formatting, environment variable access demonstrates proper secret management, URLs are documentation links, and heuristic alerts fire because the skill comprehensively covers security topics together. No actual security risks detected.
质量评分
你能构建什么
安全的新 API 开发
使用此技能在从零开始构建新的 REST、GraphQL 或 WebSocket API 时指导安全设计
强化现有 API
通过实施认证、限流和输入验证来审查和改进现有 API 的安全性
安全审计准备
通过遵循 OWASP 十大安全指南并实施推荐的保护措施,为安全审计准备 API
试试这些提示
帮助我为我的 API 实现 JWT 认证。我需要登录、令牌验证中间件和令牌刷新端点。
展示如何在我的 Node.js API 中防止 SQL 注入。包括参数化查询示例和输入验证。
为我的 Express API 实现限流。我希望对普通用户和认证端点设置不同的限制。
根据 OWASP API 安全十大风险审查我的 API。我应该检查哪些漏洞以及如何修复它们?
最佳实践
- 始终使用 HTTPS 并强制所有 API 流量使用 TLS
- 在处理前验证和清理所有用户输入
- 实施深度防御,使用多个安全层
避免
- 在 JWT payload 中存储敏感数据(未加密)
- 在源代码中硬编码密钥
- 在生产环境中暴露详细错误消息
常见问题
此技能会测试我的 API 是否有漏洞吗?
此技能涵盖哪些认证方法?
此技能仅适用于 Node.js API 吗?
此技能有助于合规吗?
我可以将其用于 GraphQL API 吗?
我应该多久更新一次 API 安全性?
开发者详情
作者
sickn33许可证
MIT
仓库
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-best-practices引用
main
文件结构
📄 SKILL.md