Appearance
如何利用 AI 构建标准的安全认证与授权系统
解决开发中常见的权限设计混乱问题:通过预设的工业级模式,引导 AI 设计并实现涵盖用户认证、令牌管理及细粒度权限控制的安全系统。
为什么需要这个技能
认证与授权(AuthN/AuthZ)是软件开发中最容易出错且风险最高的模块。很多开发者在实现时容易陷入“手动维护 Session”或“过度依赖简单 JWT”的误区,导致出现越权漏洞、令牌泄露或难以扩展的权限模型。
本技能为 AI 提供了标准的实现模式,使其不再随机猜测方案,而是基于 OIDC、OAuth2 和 RBAC 等成熟标准,输出具备安全性、可审计性且符合现代架构要求的代码实现。
适用场景
- 从零开始构建用户登录、注册及身份验证系统。
- 为 REST 或 GraphQL API 增加安全访问控制。
- 集成第三方社交登录(Google, GitHub 等)或企业级单点登录(SSO)。
- 设计复杂的权限模型,如基于角色的访问控制(RBAC)或基于属性的访问控制(ABAC)。
- 排查和修复现有的认证漏洞或授权逻辑错误。
核心工作流
- 定义约束条件:明确用户规模、多租户需求(Tenants)、具体业务流及潜在的威胁模型。
- 选型认证策略:根据场景在 Session-based、JWT、OIDC 等策略中选择,并定义 Token 的生命周期(过期时间、刷新机制)。
- 设计授权模型:确定权限授予方式(如角色分配)以及策略执行点(PEP)的部署位置。
- 规划安全基建:设计密钥存储方案、密钥轮转机制、安全日志记录及审计需求。
- 参考实践指南:对于复杂实现,AI 会检索
resources/implementation-playbook.md中的详细模式示例。
下载和安装
下载 auth-implementation-patterns 中文版 Skill ZIP
解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。
你可能还需要
暂无推荐