auth

此技能為您的應用程式提供了一個強大的框架，用於實作身份驗證與支付處理。它專為處理安全用戶功能之開發者設計，作為把關者，確保登入、訂閱管理與交易處理等敏感操作遵循業界最佳實踐。透過集中化這些操作，該技能有助於防止與憑證處理和財務資料處理相關的常見安全性缺陷，並引導代理程式在進行任何程式碼實作之前驗證關鍵的安全性要求。

• 完整支援現代身份驗證供應商，包括 Clerk 和 Supabase Auth，確保安全的會話管理。

• 與 Stripe 深度整合以進行支付處理，包含訂閱管理和安全的結帳流程。

• 強制性安全檢查閘道 (步驟 0)，要求在執行工具前審查關鍵的安全檢查清單。

• 自動驗證安全性控制，例如 bcrypt/argon2 密碼雜湊、HTTPOnly Cookie 使用以及 CSRF 防護。

• 支付專用的安全保障，包括 Webhook 簽章驗證和伺服器端金額驗證，以防止金額篡改。

• 標準化的錯誤處理模式，旨在透過避免過多細節來減少資訊洩漏。

• 當使用者提到登入、身份驗證、支付、訂閱或使用 Stripe 時，務必載入此技能。

• 請勿將此技能用於一般 UI 實作、基礎資料庫設計或與驗證無關的功能開發。

• 請參閱 references/authentication.md 和 references/payments.md 中的文件以獲取具體的實作細節。

• 確保所有卡片資訊皆透過 SDK 處理，絕不在應用程式伺服器上儲存。

• 在初始開發計畫中務必輸出安全檢查清單與注意等級通知，以確保對潛在安全風險的透明度。