auth

此技能为您的应用程序提供了一个强大的框架，用于实现身份验证与支付处理。它专为处理安全用户功能的开发者设计，作为把关者，确保登录、订阅管理与交易处理等敏感操作遵循业界最佳实践。通过集中化这些操作，该技能有助于防止与凭证处理和财务数据处理相关的常见安全性缺陷，并引导代理在进行任何代码实现之前验证关键的安全性要求。

• 完整支持现代身份验证提供商，包括 Clerk 和 Supabase Auth，确保安全的会话管理。

• 与 Stripe 深度集成以进行支付处理，包含订阅管理和安全的结账流程。

• 强制性安全检查网关 (步骤 0)，要求在执行工具前审查关键的安全检查清单。

• 自动验证安全性控制，例如 bcrypt/argon2 密码哈希、HTTPOnly Cookie 使用以及 CSRF 防护。

• 支付专用的安全保障，包括 Webhook 签名验证和服务器端金额验证，以防止金额篡改。

• 标准化的错误处理模式，旨在通过避免过多细节来减少信息泄露。

• 当用户提到登录、身份验证、支付、订阅或使用 Stripe 时，务必加载此技能。

• 请勿将此技能用于一般 UI 实现、基础数据库设计或与验证无关的功能开发。

• 请参阅 references/authentication.md 和 references/payments.md 中的文档以获取具体的实现细节。

• 确保所有卡片信息皆通过 SDK 处理，绝不在应用程序服务器上存储。

• 在初始开发计划中务必输出安全检查清单与注意等级通知，以确保对潜在安全风险的透明度。