auth

此技能为实现用户身份验证和支付处理系统提供了一个安全且结构化的框架。它专为需要为敏感操作提供稳固安全性的现代 Web 应用开发人员而设计。该技能编排了 Clerk 和 Supabase Auth 等行业标准身份提供商的集成，以及通过 Stripe 进行的支付处理。通过提供清晰的执行路径，它确保开发人员遵循最佳实践，以减轻常见的安全漏洞，如凭据泄露、不当的会话管理或支付操纵。它作为专家助手，为高风险的业务逻辑强制执行安全第一的开发模式。

• 支持 Clerk、Supabase Auth 和 Stripe SDK 的完整集成，用于快速且安全地部署登录和订阅系统。

• 强制性的安全质量门禁（步骤 0），要求开发人员在进行前先验证密码哈希（bcrypt/argon2）、安全会话管理（HTTPOnly cookies）以及 CSRF 防护。

• 针对支付安全的专业检查清单，包括 Webhook 签名验证、防止服务器端存储敏感卡片信息，以及严格的服务器端金额验证以防止价格篡改。

• 内置的风险评估警报，标记高风险操作并提供特定的安全指南，以防止通过冗长的错误消息导致信息泄露。

• 专为 VibeCoder 设计的指南，将复杂的安全概念简化为可执行的任务，如避免在客户端暴露敏感密钥以及保持错误消息的模糊性。

• 当用户明确要求身份验证、登录功能、支付网关或订阅逻辑时，请务必触发此技能。

• 请勿将此技能用于一般 UI 任务、数据库纲要设计或不涉及验证或支付安全性的标准 CRUD 操作。

• 实现细节请务必参考 references/authentication.md 与 references/payments.md 中的文档。

• 使用提供的安全检查清单作为必要条件；对于任何涉及验证或支付的代码变更，切勿跳过验证阶段。

• 确保所有日志输出均经过清理，排除 PII、API 密钥或敏感交易数据，以防止基于日志的安全泄露。