auth

此技能為實作使用者身份驗證與支付處理系統提供了一個安全且結構化的框架。它專為需要為敏感操作提供穩固安全性的現代 Web 應用開發人員而設計。該技能編排了 Clerk 和 Supabase Auth 等業界標準身份提供商的整合，以及透過 Stripe 進行的支付處理。透過提供清晰的執行路徑，它確保開發人員遵循最佳實踐，以減輕常見的安全漏洞，如憑證洩漏、不當的會話管理或支付操縱。它作為專家助手，為高風險的業務邏輯強制執行安全第一的開發模式。

• 支援 Clerk、Supabase Auth 和 Stripe SDK 的完整整合，用於快速且安全地部署登入和訂閱系統。

• 強制性的安全品質閘門（步驟 0），要求開發人員在進行前先驗證密碼雜湊（bcrypt/argon2）、安全會話管理（HTTPOnly cookies）以及 CSRF 防護。

• 針對支付安全的專業檢查清單，包括 Webhook 簽章驗證、防止伺服器端儲存敏感卡片資訊，以及嚴格的伺服器端金額驗證以防止價格篡改。

• 內建的風險評估警報，標記高風險操作並提供特定的安全指南，以防止透過冗長的錯誤訊息導致資訊洩漏。

• 專為 VibeCoder 設計的指南，將複雜的安全概念簡化為可執行的任務，如避免在客戶端暴露敏感密鑰以及保持錯誤訊息的模糊性。

• 當使用者明確要求身份驗證、登入功能、支付閘道或訂閱邏輯時，請務必觸發此技能。

• 請勿將此技能用於一般 UI 任務、資料庫綱要設計或不涉及驗證或支付安全性的標準 CRUD 操作。

• 實作細節請務必參考 references/authentication.md 與 references/payments.md 中的文件。

• 使用提供的安全檢查清單作為必要條件；對於任何涉及驗證或支付的程式碼變更，切勿跳過驗證階段。

• 確保所有日誌輸出均經過清理，排除 PII、API 金鑰或敏感交易數據，以防止基於日誌的安全洩漏。