auth-patterns

此技能为实现鲁棒的后端安全层提供了一套经过实战检验的工具包。专为需要集成行业标准身份验证与授权机制的软件工程师和架构师设计，无需重复发明安全协议。本技能涵盖了多种有状态和无状态的验证方法，确保开发者能够维护数据完整性、保护用户身份，并在复杂的分布式系统中强制执行细粒度的访问控制。

• 身份验证方法：全面支持 JSON Web Tokens (JWT)、使用 Redis 或内存存储的基于会话 (Session) 的身份验证，以及通过 Passport.js 进行的 OAuth 2.0 / OpenID Connect 集成。

• 授权框架：提供基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC) 的模板，支持可扩展的权限管理和中间件层级的访问检查。

• 安全原语：标准化的密码安全方案，包含可配置盐值轮数的 bcrypt 哈希，以及健壮的密码校验规则（长度、复杂度、特殊字符要求）。

• 开发者工作流：包含用于令牌生成、验证和用户会话管理的样板代码，以防止常见的安全隐患。

• 在构建用户注册系统、设计受保护的 API 端点或实施多因素认证 (MFA) 流程时，请使用此技能。

• 输入通常包括用户凭据、会话标识符、角色或声明 (Claims)；输出包括验证后的用户对象、签发的访问/刷新令牌或标准的 HTTP 授权错误响应。

• 限制：请确保环境变量（如 JWT_SECRET, JWT_REFRESH_SECRET）得到安全管理；对于会话数据，优先使用 Redis 等生产环境级别的存储后端。

• 最佳实践：遵循提供的令牌有效期模式（短生命周期访问令牌与长生命周期刷新令牌），以有效平衡安全性和用户体验。