TypeScript/Python/Rust应用安全指南：身份验证、授权、安全审计与加固

devs%3Asecurity-core by aaronbassett/agent-foundry

1 周安装量

1 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/aaronbassett/agent-foundry --skill devs:security-core

开发 API 安全

🇨🇳中文介绍

安全核心

适用于 TypeScript、Python 和 Rust 应用程序的全面应用安全指南。

快速开始

常见安全任务

设置身份验证：

生成 JWT 密钥：./scripts/generate_jwt_keys.sh RS256
查阅 authentication.md 获取实现模式
使用 assets/configs/ 中的安全模板

实现授权：

查看 authorization.md 了解 RBAC/ABAC/RLS 模式
对于 Supabase：查看包含多租户示例的 RLS 部分
在 API 和数据库层实施权限检查

安全审计：

运行：./scripts/audit_security.sh
查看 code-review.md 检查清单

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

何时使用此技能

实现登录/注册流程
添加基于 JWT 或会话的身份验证
集成 OAuth 2.0 提供商
适用于 CLI、TUI 或桌面应用程序的 OAuth（设备授权流程）
多因素身份验证（TOTP、短信/邮件 OTP）
密码哈希与验证

基于角色的访问控制（RBAC）
基于属性的访问控制（ABAC）
使用 Supabase/PostgreSQL 的行级安全（RLS）
多租户数据隔离
基于权限的访问控制
资源所有权验证

代码安全审查
依赖项漏洞扫描
OWASP Top 10 合规性检查
代码中的密钥检测
安全配置验证

安全标头（CSP、HSTS、X-Frame-Options）
CORS 配置
速率限制实现
密钥管理
API 安全加固

audit_security.sh - 针对 TypeScript、Python 和 Rust 项目的安全审计

运行依赖项漏洞扫描器（npm audit、pip-audit、cargo-audit）
检测代码中的硬编码密钥
检查常见的安全配置错误
用法：./scripts/audit_security.sh [project-directory]

generate_jwt_keys.sh - 生成安全的 JWT 签名密钥

支持 HS256（对称）、RS256（非对称）、ES256（椭圆曲线）
自动将密钥添加到 .gitignore
提供使用示例
用法：./scripts/generate_jwt_keys.sh [ALGORITHM] [OUTPUT_DIR]

参考文档 (`references/`)

authentication.md - 完整的身份验证指南

JWT 实现（TypeScript、Python、Rust）
基于会话的身份验证
OAuth 2.0 授权码流程
适用于 CLI/TUI/桌面应用程序的 OAuth 设备授权流程 ⭐
多因素身份验证（TOTP、短信）
密码安全与哈希
令牌存储最佳实践

authorization.md - 授权模式与实现

基于角色的访问控制（RBAC）
基于属性的访问控制（ABAC）
使用 Supabase/PostgreSQL 的行级安全（RLS） ⭐
多租户 RLS 模式
权限检查模式
基于资源的授权
测试授权逻辑

owasp-top-10.md - OWASP Top 10 防范指南

A01：失效的访问控制
A02：加密机制失效
A03：注入（SQL、NoSQL、命令）
A04：不安全的设计
A05：安全配置错误
A06：易受攻击和过时的组件
A07：身份识别和认证失败
A08：软件和数据完整性故障
A09：安全日志和监控故障
A10：服务端请求伪造（SSRF）

secrets-management.md - 密钥与凭据管理

环境变量最佳实践
密钥管理器（AWS Secrets Manager、HashiCorp Vault）
密钥轮换策略
CI/CD 密钥处理
使用 .env 文件进行本地开发

security-headers.md - HTTP 安全标头

内容安全策略（CSP）
严格传输安全（HSTS）
X-Frame-Options、X-Content-Type-Options
CORS 配置
所有框架的实现示例

rate-limiting.md - 速率限制策略

固定窗口、滑动窗口、令牌桶
TypeScript、Python、Rust 中的实现
使用 Redis 的分布式速率限制
按用户和按 IP 限制
速率限制标头和响应

code-review.md - 安全代码审查清单

身份验证与授权检查
输入验证与清理
数据保护与加密
安全标头与配置
会话管理
API 安全
常见漏洞（XSS、CSRF、SQL 注入）

配置模板 (`assets/configs/`)

适用于所有支持语言的即用型安全中间件：

TypeScript: assets/configs/typescript/security-config.ts

Express + Helmet 配置
CORS 设置
速率限制
安全标头

Python: assets/configs/python/security_middleware.py

FastAPI 中间件
安全标头
CORS
使用 slowapi 的速率限制

Rust: assets/configs/rust/security_middleware.rs

Axum 中间件
tower-http CORS 层
安全标头

选择身份验证方法

方法	适用场景	复杂度	最佳用途
JWT	无状态 API、微服务	中等	SPA、移动应用、API
会话	传统 Web 应用	低	服务器端渲染应用
OAuth 2.0	第三方身份验证、SSO	高	委托身份验证
API 密钥	服务间通信	低	内部服务

有关详细实现模式，请参阅 authentication.md。

模型	适用场景	复杂度	最佳用途
RBAC	简单的角色层次结构	低	标准 Web 应用
ABAC	复杂、动态的策略	高	企业应用
RLS	需要数据隔离的多租户应用	中等	SaaS 应用
权限	细粒度控制	中等	管理面板、API

有关实现模式和 RLS 示例，请参阅 authorization.md。

适用于 CLI/TUI/桌面应用的 OAuth

适用于没有传统浏览器重定向的应用程序：

设备授权流程（OAuth 2.0）：

应用请求设备码
用户打开浏览器并输入代码
应用轮询令牌
用户批准后授予令牌

1. 实现 JWT 身份验证

# 生成密钥
./scripts/generate_jwt_keys.sh RS256 ./keys

# 查看实现模式
# 参见 references/authentication.md#jwt-authentication

然后根据您使用的语言（TypeScript/Python/Rust）使用示例进行实现。

2. 添加行级安全（Supabase）

# 查看 RLS 模式
# 参见 references/authorization.md#row-level-security-rls

为多租户隔离实现 RLS 策略：

在表上启用 RLS
为 SELECT、INSERT、UPDATE、DELETE 创建策略
使用辅助函数处理复杂规则
使用不同的用户上下文进行测试

3. 安全审计工作流程

# 运行自动化审计
./scripts/audit_security.sh

# 手动审查
# 1. 检查 references/code-review.md 清单
# 2. 查看 references/owasp-top-10.md 以查找漏洞
# 3. 使用 references/security-headers.md 验证安全标头
# 4. 根据 references/rate-limiting.md 测试速率限制

4. 加固新应用程序

应用安全模板：
- 从 assets/configs/[language]/ 复制相应的配置
- 为您的域名配置 CORS
- 设置速率限制
实现身份验证：
- 从 authentication.md 选择方法
- 生成安全密钥
- 配置令牌过期时间
添加授权：
- 从 authorization.md 选择模型
- 实现权限检查
- 如果是多租户，则启用 RLS
配置安全标头：
- 遵循 security-headers.md
- 使用在线工具测试
设置密钥管理：
- 遵循 secrets-management.md
- 使用环境变量或密钥管理器
审查 OWASP Top 10：
- 检查 owasp-top-10.md
- 确保所有风险都已缓解

使用 Helmet 处理安全标头
使用 Zod 验证输入
对 SQL 使用预处理语句
使用 bcrypt 哈希密码
参见配置：assets/configs/typescript/security-config.ts

使用 Pydantic 进行验证
仅使用参数化查询
使用 bcrypt 哈希密码
在启动时配置安全中间件
参见配置：assets/configs/python/security_middleware.py

编译器可防止许多问题
在边界处进行验证
使用 sqlx 进行类型安全的 SQL
使用 argon2 哈希密码
参见配置：assets/configs/rust/security_middleware.rs

纵深防御 - 多层安全防护
最小权限原则 - 授予最低必要权限
安全失败 - 默认拒绝
保护密钥 - 绝不提交凭据
验证一切 - 在边界处验证所有输入
使用强加密 - 仅使用现代算法
记录安全事件 - 身份验证、授权失败
更新依赖项 - 定期应用安全补丁
速率限制 - 防止滥用
测试安全性 - 自动化安全测试

为安全关注点编写测试：

// 身份验证测试
it('should reject invalid credentials');
it('should rate limit login attempts');
it('should require MFA when enabled');

// 授权测试
it('should deny unauthorized access');
it('should allow access for correct role');
it('should enforce resource ownership');

// 输入验证测试
it('should prevent SQL injection');
it('should sanitize HTML input');
it('should validate file uploads');

完整测试清单请参阅 code-review.md。

本技能中的主要参考：

authentication.md - 身份验证模式及适用于 CLI/桌面应用的 OAuth
authorization.md - RBAC、ABAC 和 RLS
owasp-top-10.md - 顶级 Web 漏洞
secrets-management.md - 凭据处理
security-headers.md - HTTP 安全标头
rate-limiting.md - API 保护
code-review.md - 安全审查清单

对于新的安全应用程序：

查看最佳实践部分
应用 assets/configs/ 中的安全模板
根据 authentication.md 实现身份验证
根据 authorization.md 添加授权
根据 security-headers.md 配置安全标头
运行 ./scripts/audit_security.sh 进行验证

对于安全审查：

运行 ./scripts/audit_security.sh
遵循 code-review.md 清单
检查 owasp-top-10.md 以查找漏洞

对于特定的安全问题：

身份验证问题 → authentication.md
授权问题 → authorization.md
OWASP 漏洞 → owasp-top-10.md
配置问题 → security-headers.md 或 rate-limiting.md
密钥问题 → secrets-management.md

🇺🇸English

Security Core

Comprehensive application security guidance for TypeScript, Python, and Rust applications.

Quick Start

Common Security Tasks

Setting up authentication:

Generate JWT keys: ./scripts/generate_jwt_keys.sh RS256
Consult authentication.md for implementation patterns
Use security templates from assets/configs/

Implementing authorization:

Review authorization.md for RBAC/ABAC/RLS patterns
For Supabase: See RLS section with multi-tenant examples
Implement permission checking at API and database layers

Security auditing:

Run: ./scripts/audit_security.sh
Review code-review.md checklist
Check owasp-top-10.md for vulnerabilities

Hardening application:

Apply security headers from security-headers.md
Implement rate limiting from rate-limiting.md
Configure secrets management per secrets-management.md

When to Use This Skill

Authentication Scenarios

Implementing login/signup flows
Adding JWT or session-based authentication
Integrating OAuth 2.0 providers
OAuth for CLI, TUI, or desktop applications (Device Flow)
Multi-factor authentication (TOTP, SMS/Email OTP)
Password hashing and validation

Authorization Scenarios

Role-Based Access Control (RBAC)
Attribute-Based Access Control (ABAC)
Row Level Security (RLS) with Supabase/PostgreSQL
Multi-tenant data isolation
Permission-based access control
Resource ownership validation

Security Auditing

Code security reviews
Dependency vulnerability scanning
OWASP Top 10 compliance checks
Secret detection in code
Security configuration verification

Infrastructure Security

Security headers (CSP, HSTS, X-Frame-Options)
CORS configuration
Rate limiting implementation
Secrets management
API security hardening

Core Resources

Scripts (`scripts/`)

audit_security.sh - Security audit for TypeScript, Python, and Rust projects

Runs dependency vulnerability scanners (npm audit, pip-audit, cargo-audit)
Detects hardcoded secrets in code
Checks for common security misconfigurations
Usage: ./scripts/audit_security.sh [project-directory]

generate_jwt_keys.sh - Generate secure JWT signing keys

Supports HS256 (symmetric), RS256 (asymmetric), ES256 (elliptic curve)
Automatically adds keys to .gitignore
Provides usage examples
Usage: ./scripts/generate_jwt_keys.sh [ALGORITHM] [OUTPUT_DIR]

Reference Documentation (`references/`)

authentication.md - Complete authentication guide

JWT implementation (TypeScript, Python, Rust)
Session-based authentication
OAuth 2.0 Authorization Code Flow
OAuth Device Flow for CLI/TUI/desktop apps ⭐
Multi-factor authentication (TOTP, SMS)
Password security and hashing
Token storage best practices

authorization.md - Authorization patterns and implementations

Role-Based Access Control (RBAC)
Attribute-Based Access Control (ABAC)
Row Level Security (RLS) with Supabase/PostgreSQL ⭐
Multi-tenant RLS patterns
Permission checking patterns
Resource-based authorization
Testing authorization logic

owasp-top-10.md - OWASP Top 10 prevention guide

A01: Broken Access Control
A02: Cryptographic Failures
A03: Injection (SQL, NoSQL, Command)
A04: Insecure Design
A05: Security Misconfiguration
A06: Vulnerable Components
A07: Authentication Failures
A08: Data Integrity Failures
A09: Logging & Monitoring Failures
A10: Server-Side Request Forgery (SSRF)

secrets-management.md - Secrets and credentials management

Environment variables best practices
Secret managers (AWS Secrets Manager, HashiCorp Vault)
Secret rotation strategies
CI/CD secrets handling
Local development with .env files

security-headers.md - HTTP security headers

Content-Security-Policy (CSP)
Strict-Transport-Security (HSTS)
X-Frame-Options, X-Content-Type-Options
CORS configuration
Implementation examples for all frameworks

rate-limiting.md - Rate limiting strategies

Fixed window, sliding window, token bucket
Implementation in TypeScript, Python, Rust
Distributed rate limiting with Redis
Per-user and per-IP limiting
Rate limit headers and responses

code-review.md - Security code review checklist

Authentication & authorization checks
Input validation & sanitization
Data protection and encryption
Security headers & configuration
Session management
API security
Common vulnerabilities (XSS, CSRF, SQL injection)

Configuration Templates (`assets/configs/`)

Ready-to-use security middleware for all supported languages:

TypeScript: assets/configs/typescript/security-config.ts

Express + Helmet configuration
CORS setup
Rate limiting
Security headers

Python: assets/configs/python/security_middleware.py

FastAPI middleware
Security headers
CORS
Rate limiting with slowapi

Rust: assets/configs/rust/security_middleware.rs

Axum middleware
tower-http CORS layer
Security headers

Decision Guides

Choosing Authentication Method

Method	Use When	Complexity	Best For
JWT	Stateless APIs, microservices	Medium	SPAs, mobile apps, APIs
Sessions	Traditional web apps	Low	Server-rendered apps
OAuth 2.0	Third-party auth, SSO	High	Delegated authentication
API Keys	Service-to-service	Low	Internal services

See authentication.md for detailed implementation patterns.

Choosing Authorization Model

Model	Use When	Complexity	Best For
RBAC	Simple role hierarchies	Low	Standard web apps
ABAC	Complex, dynamic policies	High	Enterprise apps
RLS	Multi-tenant with data isolation	Medium	SaaS applications
Permissions	Fine-grained control	Medium	Admin panels, APIs

See authorization.md for implementation patterns and RLS examples.

OAuth for CLI/TUI/Desktop

For applications without traditional browser redirects:

Device Authorization Flow (OAuth 2.0):

App requests device code
User opens browser and enters code
App polls for token
Token granted after user approval

Full implementation examples in authentication.md - OAuth for CLI, TUI, and Desktop Apps.

Common Workflows

1. Implementing JWT Authentication

# Generate keys
./scripts/generate_jwt_keys.sh RS256 ./keys

# Review implementation patterns
# See references/authentication.md#jwt-authentication

Then implement using examples for your language (TypeScript/Python/Rust).

2. Adding Row Level Security (Supabase)

# Review RLS patterns
# See references/authorization.md#row-level-security-rls

Implement RLS policies for multi-tenant isolation:

Enable RLS on tables
Create policies for SELECT, INSERT, UPDATE, DELETE
Use helper functions for complex rules
Test with different user contexts

3. Security Audit Workflow

# Run automated audit
./scripts/audit_security.sh

# Manual review
# 1. Check references/code-review.md checklist
# 2. Review references/owasp-top-10.md for vulnerabilities
# 3. Verify security headers with references/security-headers.md
# 4. Test rate limiting per references/rate-limiting.md

4. Hardening New Application

Apply security templates:
- Copy appropriate config from assets/configs/[language]/
- Configure CORS for your domains
- Set up rate limiting
Implement authentication:
- Choose method from authentication.md
- Generate secure keys
- Configure token expiration
Add authorization:
- Choose model from authorization.md
- Implement permission checks
- Enable RLS if multi-tenant
Configure security headers:
- Follow security-headers.md
- Test with online tools
Set up secrets management:
- Follow secrets-management.md

Language-Specific Guidance

TypeScript/Node.js

Use Helmet for security headers
Validate inputs with Zod
Use prepared statements for SQL
Hash passwords with bcrypt
See config: assets/configs/typescript/security-config.ts

Python/FastAPI

Use Pydantic for validation
Parameterized queries only
Hash passwords with bcrypt
Security middleware in startup
See config: assets/configs/python/security_middleware.py

Rust

Compiler prevents many issues
Validate at boundaries
Use sqlx for type-safe SQL
Hash passwords with argon2
See config: assets/configs/rust/security_middleware.rs

Best Practices

Defense in Depth - Multiple security layers
Least Privilege - Grant minimum necessary permissions
Fail Securely - Default to deny
Keep Secrets Secret - Never commit credentials
Validate Everything - All inputs at boundaries
Use Strong Crypto - Modern algorithms only
Log Security Events - Authentication, authorization failures
Update Dependencies - Regular security patches
Rate Limit - Protect against abuse
Test Security - Automated security tests

Testing Security

Write tests for security concerns:

// Authentication tests
it('should reject invalid credentials');
it('should rate limit login attempts');
it('should require MFA when enabled');

// Authorization tests
it('should deny unauthorized access');
it('should allow access for correct role');
it('should enforce resource ownership');

// Input validation tests
it('should prevent SQL injection');
it('should sanitize HTML input');
it('should validate file uploads');

See code-review.md for complete testing checklist.

Security Resources

Primary references in this skill:

authentication.md - Auth patterns and OAuth for CLI/desktop
authorization.md - RBAC, ABAC, and RLS
owasp-top-10.md - Top web vulnerabilities
secrets-management.md - Credential handling
security-headers.md - HTTP security headers
rate-limiting.md - API protection
code-review.md - Security review checklist

External resources:

Getting Started

For a new secure application:

Review Best Practices section
Apply security templates from assets/configs/
Implement authentication from authentication.md
Add authorization from authorization.md
Configure security headers from security-headers.md
Run ./scripts/audit_security.sh to verify

For security review:

Run ./scripts/audit_security.sh
Follow code-review.md checklist
Check owasp-top-10.md for vulnerabilities

For specific security concern:

Authentication issue → authentication.md
Authorization issue → authorization.md
OWASP vulnerability → owasp-top-10.md
Configuration issue → security-headers.md or rate-limiting.md
Secrets issue → secrets-management.md

Weekly Installs

Repository

aaronbassett/ag…-foundry

GitHub Stars

First Seen

1 day ago

Installed on

zencoder1

amp1

cline1

openclaw1

opencode1

cursor1

agent-browser 浏览器自动化工具 - Vercel Labs 命令行网页操作与测试

147,400 周安装

Use environment variables or secret manager

Review OWASP Top 10:

Check owasp-top-10.md
Ensure all risks are mitigated

TypeScript/Python/Rust应用安全指南：身份验证、授权、安全审计与加固

🇨🇳中文介绍

安全核心

快速开始

常见安全任务

相关 Skills

何时使用此技能

身份验证场景

授权场景

安全审计

基础设施安全

核心资源

脚本 (scripts/)

参考文档 (references/)

配置模板 (assets/configs/)

决策指南

选择身份验证方法

选择授权模型

适用于 CLI/TUI/桌面应用的 OAuth

常见工作流程

1. 实现 JWT 身份验证

2. 添加行级安全（Supabase）

3. 安全审计工作流程

4. 加固新应用程序

语言特定指南

TypeScript/Node.js

Python/FastAPI

Rust

最佳实践

测试安全性

安全资源

开始使用

🇺🇸English

Security Core

Quick Start

Common Security Tasks

When to Use This Skill

Authentication Scenarios

Authorization Scenarios

Security Auditing

Infrastructure Security

Core Resources

Scripts (scripts/)

Reference Documentation (references/)

Configuration Templates (assets/configs/)

Decision Guides

Choosing Authentication Method

Choosing Authorization Model

OAuth for CLI/TUI/Desktop

Common Workflows

1. Implementing JWT Authentication

2. Adding Row Level Security (Supabase)

3. Security Audit Workflow

4. Hardening New Application

Language-Specific Guidance

TypeScript/Node.js

Python/FastAPI

Rust

Best Practices

Testing Security

Security Resources

Getting Started

最新 Skills

脚本 (`scripts/`)

参考文档 (`references/`)

配置模板 (`assets/configs/`)

Scripts (`scripts/`)

Reference Documentation (`references/`)

Configuration Templates (`assets/configs/`)