auth-patterns

auth-patterns 技能為透過業界標準的身份驗證與授權方法來保護後端應用程式，提供強大的架構框架。它專為需要將身份管理整合至 Node.js 或 TypeScript 微服務與 Web API 的資深開發人員與後端工程師所設計。透過使用此技能，開發人員能夠在高水準地維持使用者身份驗證、存取控制與憑證保護的同時，降低生產環境中的安全漏洞風險。

• 身份驗證實作涵蓋了帶有存取與重新整理權杖輪替機制的 JSON Web Tokens (JWT)、使用 Redis 的基於 Session 的儲存，以及整合 Passport.js 的 OAuth 2.0 / OpenID Connect。

• 授權模式支援基於角色的存取控制 (RBAC) 與屬性感知檢查，確保跨端點的細粒度權限強制執行。

• 密碼安全工具包含使用 bcrypt 的密碼學安全雜湊，以及針對長度、複雜度與特殊字元需求的可配置密碼驗證規則。

• 後端開發的最佳安全實踐，包含針對常見憑證攻擊與 Session 管理漏洞的緩解策略。

• 呼叫此技能時，請提供關於特定身份驗證策略（例如 JWT 與 Session）與所需授權模型（例如基於角色的權限）的上下文。

• 用於設定中介軟體 (Middleware)、配置權杖過期政策，或定義使用者實體介面。

• 請確保已定義機密環境變數 (例如 JWT_SECRET, JWT_REFRESH_SECRET)，因為該技能產生的程式碼鷹架會依賴這些配置。

• 適用於新專案開發或重構現有身份驗證模組以符合當前的安全合規標準。