Web应用安全开发清单：身份验证、API防护、数据加密最佳实践

secure by whawkinsiv/claude-code-superpowers

120 周安装量

156 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/whawkinsiv/claude-code-superpowers --skill secure

开发开发运维安全

🇨🇳中文介绍

安全

安全检查清单

安全基础：

受保护路由需要身份验证
密码已哈希处理（bcrypt/argon2），绝不存储明文
API 密钥存储在环境变量中，而非代码中
生产环境仅使用 HTTPS
在服务器端验证输入
防止 SQL 注入（使用参数化查询）
防止 XSS（对用户输入进行清理）
表单使用 CSRF 令牌
API 端点实施速率限制
用户会话过期（通常 30 分钟-1 小时）

详细检查项请参见 COMMON-VULNS.md。

关键：切勿在代码中存储以下内容

移至环境变量：

数据库密码
API 密钥（Stripe、SendGrid 等）
JWT 密钥
OAuth 客户端密钥
加密密钥

告知 AI：

将 API 密钥存储在 .env 文件中，而非代码中。
将 .env 添加到 .gitignore。
通过 process.env.API_KEY 访问。

身份验证基础

最低要求：

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

给 AI 的安全提示

添加身份验证：

为此路由添加身份验证。
需要有效的 JWT 令牌。
如果缺失/无效则返回 401。
不要暴露错误详情。

添加速率限制：
- 每个 IP 每分钟 100 次请求
- 如果超过限制，返回 429 "请求过多"
- 使用滑动窗口，而非固定窗口

验证所有用户输入：
- 邮箱：有效格式
- 密码：8 个以上字符，1 个数字，1 个符号
- 用户名：仅限字母数字，3-20 个字符
用清晰的错误信息拒绝无效输入

更多提示请参见 SECURITY-PROMPTS.md。

上线前安全审查

生产环境安全：
- [ ] 所有密钥都在环境变量中
- [ ] 强制使用 HTTPS（禁用 HTTP）
- [ ] 配置数据库备份
- [ ] 所有 API 实施速率限制
- [ ] 错误页面不显示堆栈跟踪
- [ ] 受保护的管理员路由
- [ ] 验证文件上传（类型、大小）
- [ ] 配置 CORS（不使用通配符 "*"）

何时进行安全审计

需要专家审查的迹象：

直接处理支付（非通过 Stripe）
存储健康/财务数据
多租户且需要数据隔离
用户超过 1,000 名
处理敏感的个人身份信息

对于大多数 MVP： 遵循此清单已足够。

创始人常见错误

错误	修复方案
API 密钥在代码中	移至 .env 文件
无速率限制	添加到所有端点
明文密码	使用 bcrypt
生产环境使用 HTTP	强制使用 HTTPS
接受所有 CORS	白名单域名
无输入验证	在服务器端验证
详细的错误信息	仅使用通用信息

快速见效的改进

简单的安全改进：

添加 Helmet.js（Node）- 设置安全头
处处使用 HTTPS - 生产环境强制使用
添加速率限制 - 防止滥用
使用环境变量 - 安全保存密钥
更新依赖项 - 修复已知漏洞

添加 helmet.js 以设置安全头。
为生产环境配置（HTTPS、CSP、XSS 防护）。

暴露的密钥：

grep -r "api_key" src/
grep -r "password" src/
# 应该只找到对环境变量的引用

无身份验证绕过：

尝试在不登录的情况下访问受保护路由
应重定向到登录页面或返回 401

速率限制生效：

快速访问 API 端点 100 次
应收到 429 错误

✅ 代码中无密钥（全部在 .env 中） ✅ 未经身份验证无法访问受保护路由 ✅ 密码已哈希处理，绝不存储明文 ✅ 速率限制防止滥用 ✅ 生产环境强制使用 HTTPS ✅ 在服务器端验证输入

🇺🇸English

Security

Security Checklist

Security Basics:
- [ ] Authentication required for protected routes
- [ ] Passwords hashed (bcrypt/argon2), never stored plain text
- [ ] API keys in environment variables, not code
- [ ] HTTPS only in production
- [ ] Input validated on server side
- [ ] SQL injection prevented (use parameterized queries)
- [ ] XSS prevented (sanitize user input)
- [ ] CSRF tokens on forms
- [ ] Rate limiting on API endpoints
- [ ] User sessions expire (30min-1hr typical)

See COMMON-VULNS.md for detailed checks.

Critical: Never Store These in Code

Move to environment variables:

Database passwords
API keys (Stripe, SendGrid, etc)
JWT secrets
OAuth client secrets
Encryption keys

Tell AI:

Store API keys in .env file, not in code.
Add .env to .gitignore.
Access via process.env.API_KEY

Authentication Basics

Minimum requirements:

Passwords: 8+ chars, require number/symbol
Hash passwords (bcrypt with 10+ rounds)
Email verification for signups
Password reset via email only
Sessions expire (30-60 min idle)
Logout clears session completely

Tell AI:

Add authentication:
- bcrypt for password hashing (12 rounds)
- Email verification required
- Session timeout: 30 minutes
- Password requirements: 8+ chars, 1 number, 1 symbol

See SECURITY-PROMPTS.md for implementation details.

Data Protection

Always encrypt:

Passwords (hashed, not encrypted)
Payment info (use Stripe, don't store cards)
Personal identifiable information (PII)

Never log:

Passwords (even hashed)
Credit card numbers
API keys
Session tokens

Tell AI:

Never log sensitive data.
Replace passwords/tokens with "[REDACTED]" in logs.

API Security

Required for all API endpoints:

Authentication check
Rate limiting (prevent abuse)
Input validation
Error messages don't leak info

Tell AI:

Add to all API routes:
- Require valid auth token
- Rate limit: 100 requests/minute per IP
- Validate all inputs (reject invalid)
- Generic error messages (no stack traces to users)

Common Vulnerabilities

Most common in AI-built apps:

Exposed API keys - In code instead of .env
No rate limiting - APIs can be spammed
Missing auth checks - Routes accessible without login
SQL injection - Raw SQL with user input
XSS attacks - Unescaped user content displayed

See COMMON-VULNS.md for how to check.

Security Prompts for AI

Adding authentication:

Add authentication to this route.
Require valid JWT token.
Return 401 if missing/invalid.
Don't expose error details.

Rate limiting:

Add rate limiting:
- 100 requests/minute per IP
- Return 429 "Too many requests" if exceeded
- Use sliding window, not fixed

Input validation:

Validate all user inputs:
- Email: valid format
- Password: 8+ chars, 1 number, 1 symbol
- Username: alphanumeric only, 3-20 chars
Reject invalid input with clear error message

See SECURITY-PROMPTS.md for more.

Pre-Launch Security Review

Before deploying:

Production Security:
- [ ] All secrets in environment variables
- [ ] HTTPS enforced (no HTTP)
- [ ] Database backups configured
- [ ] Rate limiting on all APIs
- [ ] Error pages don't show stack traces
- [ ] Admin routes protected
- [ ] File uploads validated (type, size)
- [ ] CORS configured (not wildcard "*")

When to Get Security Audit

Signs you need expert review:

Handling payments directly (not Stripe)
Storing health/financial data
Multi-tenant with data isolation
Over 1,000 users
Processing sensitive PII

For most MVPs: Following this checklist is sufficient.

Common Founder Mistakes

Mistake	Fix
API keys in code	Move to .env
No rate limiting	Add to all endpoints
Plain text passwords	Use bcrypt
HTTP in production	Force HTTPS
Accepting all CORS	Whitelist domains
No input validation	Validate server-side
Detailed error messages	Generic messages only

Quick Wins

Easy security improvements:

Add Helmet.js (Node) - Sets security headers
Use HTTPS everywhere - Force in production
Add rate limiting - Prevents abuse
Environment variables - Keep secrets safe
Update dependencies - Fix known vulnerabilities

Tell AI:

Add helmet.js for security headers.
Configure for production (HTTPS, CSP, XSS protection).

Testing Security

Quick checks:

Exposed secrets:

grep -r "api_key" src/
grep -r "password" src/
# Should only find references to env vars

No auth bypass:

Try accessing protected routes without login
Should redirect to login or return 401

Rate limiting works:

Hit API endpoint 100 times quickly
Should get 429 error

Success Looks Like

✅ No secrets in code (all in .env)
✅ Can't access protected routes without auth
✅ Passwords hashed, never stored plain text
✅ Rate limiting prevents abuse
✅ HTTPS enforced in production
✅ Input validated on server side

Weekly Installs

120

Repository

whawkinsiv/clau…erpowers

GitHub Stars

156

First Seen

Feb 13, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

gemini-cli119

github-copilot119

codex119

amp119

cline119

kimi-cli119

Azure RBAC 权限管理工具：查找最小角色、创建自定义角色与自动化分配

129,699 周安装

Web应用安全开发清单：身份验证、API防护、数据加密最佳实践

🇨🇳中文介绍

安全

安全检查清单

关键：切勿在代码中存储以下内容

身份验证基础

相关 Skills

数据保护

API 安全

常见漏洞

给 AI 的安全提示

上线前安全审查

何时进行安全审计

创始人常见错误

快速见效的改进

安全测试

成功标准

🇺🇸English

Security

Security Checklist

Critical: Never Store These in Code

Authentication Basics

Data Protection

API Security

Common Vulnerabilities

Security Prompts for AI

Pre-Launch Security Review

When to Get Security Audit

Common Founder Mistakes

Quick Wins

Testing Security

Success Looks Like

最新 Skills