auth-patterns

此技能為實作後端服務強健安全層提供了一套經過實戰驗證的工具組。專為需要整合業界標準身分驗證與授權機制的軟體工程師與架構師設計，無需從頭開發安全協定。本技能涵蓋多種有狀態與無狀態的驗證方法，確保開發者能維護資料完整性、保障使用者身分，並在複雜的分散式系統中實施細粒度的存取控制。

• 身分驗證方法：完整支援 JSON Web Tokens (JWT)、使用 Redis 或記憶體儲存的 Session 驗證，以及透過 Passport.js 進行的 OAuth 2.0 / OpenID Connect 整合。

• 授權框架：提供角色基礎存取控制 (RBAC) 與屬性基礎存取控制 (ABAC) 的範本，實現可擴充的權限管理與中介軟體層級的存取檢查。

• 安全原語：標準化的密碼安全作業，包含具備可設定鹽值次數的 bcrypt 雜湊，以及嚴格的密碼驗證規則（長度、複雜度、特殊字元要求）。

• 開發者工作流：包含用於權杖產生、驗證與使用者 Session 管理的樣板程式碼，協助預防常見的安全漏洞。

• 當您需要建構使用者註冊系統、設計受保護的 API 端點，或實作多因素驗證 (MFA) 流程時，請使用此技能。

• 輸入通常包含使用者憑證、Session 識別碼、角色或宣告 (Claims)；輸出則包含已驗證的使用者物件、簽署過的存取/更新權杖，或標準的 HTTP 授權錯誤回應。

• 限制：請確保環境變數（如 JWT_SECRET, JWT_REFRESH_SECRET）受到安全管理；針對 Session 資料，請優先選用 Redis 等正式環境等級的儲存後端。

• 最佳實踐：遵循提供的權杖過期機制（短效存取權杖、長效更新權杖），以平衡安全性與使用者體驗。