springboot-security

springboot-security 技能为 Java Spring Boot 应用程序提供标准化的安全框架。它专为开发人员、安全工程师及 AI 智能体设计，旨在于服务开发、代码审查或基础设施强化过程中实现强大的防护机制。此技能封装了业界标准的安全配置，确保应用程序能抵御 SQL 注入、XSS 及 CSRF 等常见漏洞，同时符合现代身份验证标准。

• 使用 Spring Security、JWT、OAuth2 及 Session 管理（含 httpOnly、SameSite 等安全 Cookie 属性）实现身份验证与授权。

• 执行 Bean Validation 与 DTO 约束，以防止注入攻击并确保控制器层级的数据完整性。

• 针对浏览器 Session 应用程序与无状态 RESTful API 提供定制化的 CSRF 防护策略。

• 关于机密管理的指南，利用环境变量、占位符以及与 Spring Cloud Vault 等工具的整合。

• 安全响应头配置，包括内容安全策略 (CSP)、框架选项及引用者策略 (Referrer Policy)。

• 使用 Bucket4j 的速率限制技术，以防止暴力破解攻击与服务滥用。

• 通过 Spring Data JPA 存储库、参数化原生查询以及使用 BCrypt 或 Argon2 进行安全密码编码，防止 SQL 注入。

• 针对常见 CVE 漏洞进行依赖项安全扫描，以维护软件供应链安全。

• 当建立新的身份验证模块、定义 API 端点或处理用户输入时，应启动此技能。

• 用户将获得关于 @PreAuthorize 方法安全配置与 JWT 处理用 OncePerRequestFilter 实现的清晰模式。

• 它作为防止在 application.yml 中硬编码凭据的指引，并强制执行生产环境所需的 CorsConfigurationSource 设置。

• 实务限制包含在 Spring 上下文中正确配置 Bean 的需求，以及在更广泛的应用生命周期内测试安全过滤器的必要性。