auth-patterns

auth-patterns 技能为通过业界标准的身份验证与授权方法来保护后端应用程序，提供了强大的架构框架。它专为需要将身份管理集成至 Node.js 或 TypeScript 微服务与 Web API 的资深开发人员与后端工程师所设计。通过使用此技能，开发人员能够在高水准地维持用户身份验证、存取控制与凭证保护的同时，降低生产环境中的安全漏洞风险。

• 身份验证实现涵盖了带有访问与刷新令牌轮替机制的 JSON Web Tokens (JWT)、使用 Redis 的基于 Session 的存储，以及集成 Passport.js 的 OAuth 2.0 / OpenID Connect。

• 授权模式支持基于角色的存取控制 (RBAC) 与属性感知检查，确保跨端点的细粒度权限强制执行。

• 密码安全工具包含使用 bcrypt 的密码学安全哈希，以及针对长度、复杂度与特殊字符需求的可配置密码验证规则。

• 后端开发的最佳安全实践，包含针对常见凭证攻击与 Session 管理漏洞的缓解策略。

• 调用此技能时，请提供关于特定身份验证策略（例如 JWT 与 Session）与所需授权模型（例如基于角色的权限）的上下文。

• 用于设置中间件 (Middleware)、配置令牌过期策略，或定义用户实体接口。

• 请确保已定义机密环境变量 (例如 JWT_SECRET, JWT_REFRESH_SECRET)，因为该技能产生的代码脚手架会依赖这些配置。

• 适用于新项目开发或重构现有身份验证模块以符合当前的安全合规标准。