下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「auth-implementation-patterns」。 如何在 Express 中實作 JWT 認證?
預期結果:
完整的 JWT 實作包含:1) 使用 jwt.sign() 搭配環境變數中的機密生成權杖,2) 建立驗證 Bearer 權杖的 authenticate 中介軟體,3) 使用短效期存取權杖 (15 分鐘) 搭配較長效期的更新權杖 (7 天),4) 將更新權杖雜湊後儲存於資料庫。完整程式碼請參閱 implementation-playbook.md Pattern 1。
正在使用「auth-implementation-patterns」。 Session 認證與權杖認證有何差異?
預期結果:
Session 認證:伺服器儲存狀態,Session ID 存放於 cookie,簡單但需要 sticky sessions。權杖認證 (JWT):無狀態、自包含聲明、可水平擴展,但難以撤銷個別權杖。傳統應用程式選擇 Session,API 與微服務選擇 JWT。
正在使用「auth-implementation-patterns」。 如何實作基於角色的授權?
預期結果:
在 enum 中定義角色 (USER、MODERATOR、ADMIN),建立角色階層映射,建立 requireRole() 中介軟體檢查使用者角色是否符合允許角色,將中介軟體套用至受保護路由。範例:app.delete('/users/:id', authenticate, requireRole('ADMIN'), handler)
安全審計
安全Educational documentation skill containing authentication and authorization code patterns. All 67 static findings are false positives: backticks are markdown code fences, environment variable access demonstrates proper secret handling, and weak crypto mentions are in cautionary context. No actual security risks present.
品質評分
你能建構什麼
從零開始建立 JWT 認證
實作完整的權杖認證,包含存取權杖、更新權杖及適當的機密管理
新增 OAuth2 社交登入
將 Google 和 GitHub OAuth2 認證整合到現有應用程式中
設計授權模型
為應用程式資源建立 RBAC 或基於權限的存取控制系統
試試這些提示
展示如何在 Node.js 與 Express 中實作 JWT 認證,包含權杖生成與驗證中介軟體
建立更新權杖流程,安全地將更新權杖儲存於資料庫並簽發新的存取權杖
使用 Passport.js 實作 Google OAuth2 登入,認證後生成 JWT 權杖
設計包含 admin、moderator 和 user 角色的基於角色存取控制系統,包含權限檢查中介軟體
最佳實務
- 一律使用環境變數儲存機密 (JWT_SECRET、SESSION_SECRET),切勿將憑證硬編碼
- 使用短效期存取權杖 (15-30 分鐘) 搭配獨立的更新權杖以提升安全性
- 將更新權杖雜湊後儲存於資料庫,並實作使用時輪轉機制
避免
- 將 JWT 儲存於 localStorage 會使權杖暴露於 XSS 攻擊風險 - 請改用 httpOnly cookie
- 未驗證權杖過期時間將導致過期權杖可被無限使用
- 僅在客戶端進行授權檢查可被繞過 - 務必在伺服器端驗證
常見問題
何時應該使用 Session 認證與權杖認證?
如何安全地儲存 JWT 機密?
認證與授權有何差異?
如何安全地實作更新權杖?
JWT 權杖可以被撤銷嗎?
處理密碼儲存的最佳方式為何?
開發者詳情
作者
sickn33授權
MIT
儲存庫
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/auth-implementation-patterns引用
main
檔案結構