springboot-security

springboot-security 技能為 Java Spring Boot 應用程式提供標準化的安全框架。它專為開發人員、安全工程師及 AI 智能體設計，旨在於服務開發、程式碼審查或基礎設施強化過程中實現強大的防護機制。此技能封裝了業界標準的安全配置，確保應用程式能抵禦 SQL 注入、XSS 及 CSRF 等常見漏洞，同時符合現代身份驗證標準。

• 使用 Spring Security、JWT、OAuth2 及 Session 管理（含 httpOnly、SameSite 等安全 Cookie 屬性）實現身份驗證與授權。

• 執行 Bean Validation 與 DTO 約束，以防止注入攻擊並確保控制器層級的資料完整性。

• 針對瀏覽器 Session 應用程式與無狀態 RESTful API 提供客製化的 CSRF 防護策略。

• 關於機密管理的指南，利用環境變數、佔位符以及與 Spring Cloud Vault 等工具的整合。

• 安全響應頭配置，包括內容安全策略 (CSP)、框架選項及參照者策略 (Referrer Policy)。

• 使用 Bucket4j 的速率限制技術，以防止暴力破解攻擊與服務濫用。

• 透過 Spring Data JPA 儲存庫、參數化原生查詢以及使用 BCrypt 或 Argon2 進行安全密碼編碼，防止 SQL 注入。

• 針對常見 CVE 漏洞進行依賴項安全掃描，以維護軟體供應鏈安全。

• 當建立新的身份驗證模組、定義 API 端點或處理使用者輸入時，應啟動此技能。

• 使用者將獲得關於 @PreAuthorize 方法安全配置與 JWT 處理用 OncePerRequestFilter 實作的清晰模式。

• 它作為防止在 application.yml 中硬編碼憑證的指引，並強制執行生產環境所需的 CorsConfigurationSource 設定。

• 實務限制包含在 Spring 上下文中正確配置 Bean 的需求，以及在更廣泛的應用生命週期內測試安全過濾器的必要性。