building-api-authentication

Skill do tworzenia bezpiecznych systemów autentykacji dla API. Obsługuje tokeny JWT, OAuth 2.0 (authorization code i client credentials), klucze API oraz autentykację sesyjną. Implementuje wydawanie tokenów, walidację, rotację refresh tokenów, revokację oraz kontrolę dostępu opartą na rolach (RBAC) ze scoped permissions. Użyj go gdy implementujesz bezpieczne przepływy autentykacji w swoim API.

1. Zainstaluj skill w swoim środowisku Claude Code, Codex lub OpenClaw. Upewnij się, że masz dostęp do narzędzi Read, Write, Edit, Grep, Glob i Bash z uprawnieniami api:auth-*.

2. Przygotuj wymagane zależności: bibliotekę kryptograficzną (jsonwebtoken dla Node.js, PyJWT dla Pythona, jjwt dla Javy), bezpieczne przechowywanie sekretów (zmienne środowiskowe, AWS Secrets Manager lub HashiCorp Vault), bazę danych do przechowywania kredencjałów użytkowników i tokenów refresh, oraz narzędzie do haszowania haseł (Bcrypt lub Argon2).

3. Wyzwól skill frazami takimi jak "build authentication", "add API auth" lub "secure the API". Skill przeanalizuje istniejące mechanizmy autentykacji, lokalizację middleware'u i punkty końcowe pomijające autentykację.

4. Zaimplementuj wydawanie tokenów JWT po pomyślnym logowaniu. Podpisz tokeny algorytmem RS256 (asymetryczny) lub HS256 (symetryczny), uwzględniając w payload'u identyfikator użytkownika (sub), czas wydania (iat), czas wygaśnięcia (exp) dla 15-minutowych access tokenów, role i uprawnienia (scopes).

5. Utwórz middleware autentykacji, który wyodrębnia Bearer token z nagłówka Authorization, weryfikuje podpis i czas wygaśnięcia, a następnie wstrzykuje zdekodowany kontekst użytkownika do obiektu żądania.

6. Skonfiguruj rotację refresh tokenów, revokację tokenów, przechowywanie kluczy API w bazie danych oraz kontrolę dostępu opartą na rolach (RBAC) ze scoped permissions dla wszystkich punktów końcowych API.