api-security

此防护技能专为构建或维护 RESTful 与 GraphQL API 的后端工程师与开发人员设计。它提供全面的安全覆盖以预防常见漏洞，并专注于安全设计原则。此技能会监控不安全的模式，例如丢失身份验证、不当授权、未经用户验证的输入以及缺乏速率限制等问题。通过提供即时的最佳实践，它协助团队实施强大的防御机制以抵御注入攻击、跨站脚本 (XSS) 与数据泄露，确保符合 OWASP Top 10 等行业标准。

• 强制执行严格的身份验证 (JWT、令牌标准) 与细粒度的授权检查。

• 使用 Pydantic 或框架原生验证器自动化输入验证逻辑。

• 禁止 SQL 注入，强制要求使用参数化查询与安全的 ORM 用法。

• 通过输出清理、内容安全策略 (CSP) 标头与安全的内容处理来减轻 XSS 风险。

• 实施速率限制与节流机制以防止拒绝服务 (DoS) 与暴力破解攻击。

• 防止常见的 API 漏洞，如不安全的直接对象引用 (IDOR) 与功能层级授权失效。

• 在建立新端点、修改请求处理器或更新中间件时启动此技能。

• 在代码审查期间使用它来识别硬编码的密钥、缺乏错误处理或不安全的数据库交互。

• 它作为交互式安全检查清单，提供 Python、JavaScript 与 Node.js 的实施模式代码片段。

• 输入需求包括端点定义、路由结构与数据架构。

• 预期输出为符合强化标准且可投入生产的代码块。