email-and-password-best-practices

por better-auth

email-and-password-best-practices te ayuda a configurar el acceso por correo y contraseña en Better Auth, incluidos los correos de verificación, los flujos de restablecimiento, las reglas de contraseña, las opciones de hashing y el paso de migración obligatorio.

Estrellas162

Favoritos0

Comentarios0

Agregado30 mar 2026

CategoríaAccess Control

Comando de instalación

npx skills add https://github.com/better-auth/skills --skill emailandpassword

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una opción sólida dentro del directorio para agentes que trabajan con autenticación por correo y contraseña en Better Auth. El repositorio ofrece un disparador claro, ejemplos de configuración concretos y un flujo de puesta en marcha útil para la verificación por correo y el restablecimiento de contraseña, por lo que los usuarios normalmente pueden decidir si instalarla con bastante confianza, aunque algunos detalles operativos siguen dependiendo del conocimiento general de Better Auth.

78/100

Puntos fuertes

Alta capacidad de activación: el frontmatter cubre explícitamente login, sign-in, sign-up, autenticación con credenciales y seguridad de contraseñas con Better Auth.
Contenido de flujo de trabajo práctico: Quick Start incluye la activación de email/password, la conexión de los handlers de verificación y restablecimiento, la ejecución de migraciones y las pruebas del comportamiento del correo de verificación.
Ejemplos de implementación útiles: SKILL.md ofrece código de configuración concreto para `emailVerification.sendVerificationEmail` y explica cómo se usan `url` y `token`.

Puntos a tener en cuenta

La adopción todavía requiere cierto margen de interpretación porque el repositorio solo incluye un único SKILL.md y no aporta scripts, referencias ni archivos específicos de instalación.
Las restricciones operativas y los casos límite están documentados de forma superficial; las señales estructurales no muestran una sección de restricciones explícita, lo que puede dejar sin resolver dudas sobre políticas y modos de fallo.

Better Auth Auth Security Backend Email Password

Resumen

Visión general de la skill email-and-password-best-practices

La skill email-and-password-best-practices es una guía específica de configuración de Better Auth para equipos que están implementando el inicio de sesión clásico con credenciales y quieren cubrir las piezas de seguridad que a menudo se pasan por alto: verificación de email, restablecimiento de contraseña, política de contraseñas y configuración del hashing de contraseñas. Es una opción especialmente adecuada para desarrolladores que ya saben que van a usar Better Auth y necesitan una ruta rápida y correcta hacia flujos de email/contraseña listos para producción, en lugar de una explicación genérica sobre autenticación.

Qué te ayuda a hacer esta skill

Usa esta skill cuando tu objetivo real sea conectar un flujo completo de email/contraseña con un nivel de seguridad suficiente como para ponerlo en producción:

habilitar el login con email/contraseña en Better Auth
enviar emails de verificación
exigir verificación antes del inicio de sesión cuando sea necesario
añadir el envío de restablecimiento de contraseña
aplicar reglas y validación de contraseñas
ajustar el comportamiento del hashing
ejecutar el paso de migración requerido

Quién debería instalarla

Esta skill encaja especialmente bien para:

equipos de producto que añaden login por nombre de usuario/email en un proyecto con Better Auth
desarrolladores que quieren sustituir prompts de autenticación ad hoc por una ruta de configuración repetible
flujos de trabajo de programación asistida por IA donde te interesa que el agente recuerde los nombres de configuración y la secuencia específica de Better Auth

Resulta menos útil si todavía estás comparando proveedores de autenticación, o si tu aplicación usa solo OAuth/passkeys y no necesita contraseñas.

Por qué es mejor que un prompt genérico sobre autenticación

Un prompt genérico puede decirle a un agente algo como “añade login y restablecimiento de contraseña”. Esta skill lo acota a los controles reales de Better Auth y al orden de configuración esperado, incluyendo emailAndPassword: { enabled: true }, emailVerification.sendVerificationEmail, el manejo del restablecimiento de contraseña y npx @better-auth/cli@latest migrate. Eso hace que el caso de uso de email-and-password-best-practices for Access Control sea mucho más fiable.

Qué importa más antes de adoptarla

Antes de instalarla, revisa estos puntos de decisión:

debes tener lista o prevista una función de envío de email
necesitas decidir si el inicio de sesión debe exigir email verificado
conviene tener clara tu política de contraseñas
necesitas acceso para ejecutar las migraciones de Better Auth
deberías sentirte cómodo editando la configuración del servidor de autenticación, no solo los formularios del frontend

Cómo usar la skill email-and-password-best-practices

Contexto de instalación de la skill email-and-password-best-practices

Instala la skill desde el repositorio de skills de Better Auth:

npx skills add https://github.com/better-auth/skills --skill emailAndPassword

Después, invócala en una sesión de programación asistida por IA cuando quieras configurar, auditar o mejorar flujos de credenciales de Better Auth.

Lee primero este archivo

Empieza por:

better-auth/emailAndPassword/SKILL.md

Este fragmento del repositorio es ligero, así que el valor principal está en aplicar la guía correctamente sobre tu base de código, más que en explorar un árbol grande de archivos de soporte.

Qué información necesita la skill de tu parte

Dale al agente el contexto que el repositorio no puede deducir por sí solo:

la ruta a tu archivo de configuración de Better Auth
si email/contraseña ya está habilitado de forma parcial
tu proveedor de envío de email o función helper
si la verificación de email es opcional u obligatoria
la UX de restablecimiento de contraseña que quieres
cualquier requisito de longitud o complejidad de contraseñas
si necesitas ajustes personalizados de hashing

Sin ese contexto, el agente aún puede generar una base, pero el resultado será genérico.

Convierte un objetivo difuso en un prompt sólido

Prompt débil:

“Set up auth with Better Auth.”

Prompt mejor:

“Use the email-and-password-best-practices skill to configure Better Auth email/password login in src/lib/auth.ts, require email verification before sign-in, add sendVerificationEmail using our existing sendEmail() helper, implement reset-password email sending, and tell me what migration command and test steps I need.”

Funciona mejor porque aporta la ubicación del archivo, el tipo de exigencia deseada, la utilidad de correo ya existente y los entregables esperados.

Flujo de configuración recomendado

Una secuencia práctica es:

Habilitar email/contraseña en Better Auth.
Añadir el envío de email de verificación.
Decidir si se debe exigir verificación antes del inicio de sesión.
Añadir el envío de email de restablecimiento de contraseña.
Aplicar las reglas de validación de contraseñas.
Revisar la configuración de hashing solo si tienes una razón para personalizarla.
Ejecutar la migración.
Probar de punta a punta los flujos de registro, verificación, inicio de sesión y restablecimiento.

Ese orden reduce retrabajo y encaja con la forma en que los equipos suelen depurar un despliegue de autenticación.

Configuración clave sobre la que se basa la skill

La skill gira en torno a varias funciones de Better Auth:

emailAndPassword: { enabled: true }
emailVerification.sendVerificationEmail
emailAndPassword.requireEmailVerification
sendResetPassword
configuración de política de contraseñas
personalización del algoritmo de hashing
npx @better-auth/cli@latest migrate

Si tu prompt no aclara cuáles de estas piezas necesitas, el agente puede elegir valores por defecto que no eran tu intención.

La verificación de email es el principal freno de adopción de email-and-password-best-practices

Para la mayoría de los equipos, lo más difícil no es habilitar autenticación por contraseña, sino llevar la verificación a producción de forma segura. La skill resulta útil porque le recuerda al agente que sendVerificationEmail recibe { user, url, token }, y que la url proporcionada ya contiene el enlace de verificación. Eso ayuda a evitar reconstruir enlaces de forma incorrecta cuando ya se dispone de una URL completa.

Cuándo exigir email verificado

Usa emailAndPassword.requireEmailVerification cuando tu modelo de control de acceso asuma una identidad confirmada antes de permitir el uso de la cuenta. La guía del repositorio también señala un comportamiento importante: los usuarios no verificados reciben un nuevo email de verificación cuando intentan iniciar sesión. Es un detalle práctico que muchos prompts genéricos pasan por alto.

Guía de uso para el restablecimiento de contraseña

Si tu aplicación admite recuperación de contraseña olvidada, pide explícitamente al agente que conecte sendResetPassword y que muestre el recorrido completo del usuario:

solicitar restablecimiento
recibir el email
seguir el enlace
establecer una nueva contraseña
volver a iniciar sesión

No pidas solo “reset password backend”, o puedes terminar con una implementación parcial sin el paso de envío.

Política de contraseñas y validación en cliente

La skill cubre la política de contraseñas, pero obtendrás mejores resultados si indicas:

longitud mínima
si se requieren caracteres especiales
si la validación del frontend debe reflejar las reglas del backend
si deben devolverse mensajes de validación fáciles de entender para el usuario

Esto es especialmente importante si tu equipo quiere un comportamiento consistente entre los flujos de registro, cambio de contraseña y restablecimiento.

La personalización del hashing no siempre hace falta

La ruta de uso de email-and-password-best-practices incluye la personalización del hashing, pero conviene tratarla como una necesidad avanzada. Si no tienes una razón de cumplimiento, migración o rendimiento, pide al agente que mantenga los valores seguros por defecto y los explique, en lugar de cambiar el algoritmo sin necesidad.

Checklist práctico de pruebas después de implementar

Pídele al agente que valide estos escenarios:

el registro de un usuario nuevo funciona
se envía el email de verificación
el enlace de verificación funciona
el inicio de sesión no verificado se bloquea si así se requiere
un nuevo intento de inicio de sesión vuelve a disparar un email de verificación cuando corresponde
el email de restablecimiento de contraseña se envía correctamente
la contraseña anterior deja de funcionar después del restablecimiento
la validación de contraseña falla de forma clara ante entradas débiles

Aquí es donde la guía email-and-password-best-practices mejora de forma tangible frente a una lectura rápida del repo: te ayuda a probar comportamientos, no solo a copiar configuración.

Preguntas frecuentes sobre la skill email-and-password-best-practices

¿Esta skill es solo para Better Auth?

Sí. Es una skill específica de proveedor para configuración y flujos de Better Auth. Si no estás usando Better Auth, los nombres de configuración y el paso de migración no se trasladarán directamente.

¿La skill email-and-password-best-practices es apta para principiantes?

En general sí, siempre que ya entiendas dónde vive tu configuración de autenticación y cómo envía emails tu aplicación. Los principiantes absolutos quizá necesiten ayuda aparte con SMTP, proveedores de email transaccional, conexión de rutas y formularios de frontend.

¿Instala algo por sí sola?

No. La skill sirve como guía para un flujo de trabajo con IA. Tu proyecto igualmente necesita tener Better Auth configurado, la integración con el proveedor de email del que dependas y el comando de migración ejecutado en tu entorno.

¿Cuándo no debería usar esta skill?

Sáltatela si:

solo necesitas OAuth o passkeys
estás comparando plataformas de autenticación, no implementando Better Auth
tu aplicación prohíbe por completo el login con contraseña
buscas una revisión amplia de arquitectura de seguridad en lugar de una tarea de configuración de Better Auth

¿En qué se diferencia de pedir ayuda de autenticación a un LLM?

La skill email-and-password-best-practices es más acotada y accionable. Orienta al modelo hacia la superficie real de configuración de Better Auth y hacia los detalles operativos de los flujos de verificación y restablecimiento, lo que reduce APIs alucinadas y pasos omitidos.

¿Es útil para email-and-password-best-practices for Access Control?

Sí, especialmente cuando tu control de acceso depende de una identidad verificada antes de conceder acceso a la aplicación. El requisito de bloquear el inicio de sesión de usuarios no verificados es una de las decisiones de política más importantes que esta skill ayuda a implementar correctamente.

Cómo mejorar la skill email-and-password-best-practices

Dale a la skill tu archivo exacto de auth y tu helper de correo

La forma más rápida de mejorar la calidad de la salida es indicar al agente el archivo correcto y la utilidad de email ya existente. Por ejemplo:

“Edit src/lib/auth.ts and use lib/email/sendEmail.ts.”

Eso elimina conjeturas y reduce abstracciones inventadas.

Define tu política de verificación desde el principio

En trabajos con email-and-password-best-practices, una sola frase ausente genera mucho ida y vuelta:

“Users must verify email before first sign-in.”

“Users can sign in before verification, but we still send verification email.”

Si no lo especificas, la implementación puede ser segura, pero incorrecta para tu producto.

Pide salida de flujo end-to-end, no solo configuración

Una solicitud más sólida sería:

“Configure the backend and show the frontend/user flow, email triggers, migration command, and manual test plan.”

Así evitas resultados incompletos en los que el servidor de autenticación queda configurado, pero nadie sabe cómo completan el flujo los usuarios.

Vigila los fallos habituales

Problemas comunes al usar esta skill:

olvidar implementar el envío real de emails
generar enlaces de verificación personalizados cuando url ya viene proporcionada
habilitar verificación sin decidir si el inicio de sesión debe bloquearse
conectar el transporte de restablecimiento de contraseña sin probar la ruta de callback
añadir reglas de contraseña en frontend que no coinciden con la validación del backend

Aporta detalles de política para un manejo de contraseñas más sólido

Si la fortaleza de la contraseña importa en tu entorno, incluye requisitos exactos. “Use strong passwords” es demasiado vago. Los mejores prompts mencionan longitud, patrones prohibidos, expectativas de restablecimiento y si los usuarios existentes deben cumplir de inmediato o solo al cambiar/restablecer.

Pide al agente que explique los tradeoffs, no solo que parchee código

Buen añadido al prompt:

“Explain why you kept defaults or changed hashing settings, and note any security/usability tradeoffs.”

Esto mejora la capacidad de revisión y ayuda a los equipos a evitar cambios de seguridad hechos por inercia.

Itera después del primer borrador con casos de fallo

Después de que el agente produzca una implementación inicial, mejórala pidiendo:

“Now review this for unverified-user edge cases.”
“Add manual test cases for expired reset links.”
“Check whether password validation is consistent between sign-up and reset.”

Esta segunda pasada suele ser donde la decisión de instalar email-and-password-best-practices compensa de verdad, porque la skill mantiene la iteración anclada en el comportamiento real de Better Auth y no en consejos genéricos sobre autenticación.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

two-factor-authentication-best-practices

by better-auth

two-factor-authentication-best-practices para Better Auth: instala el plugin twoFactor, añade redirecciones del cliente, ejecuta migraciones, verifica el esquema e implementa TOTP, códigos de respaldo, dispositivos de confianza y flujos de inicio de sesión con 2FA para Access Control.

Access Control

Favorites 0GitHub 163

organization-best-practices

by better-auth

organization-best-practices orienta la configuración de organizaciones en Better Auth para el control de acceso, con cobertura de plugins de servidor y cliente, migración, comprobaciones de base de datos, creación de organizaciones, invitaciones, roles y uso centrado en RBAC.

Access Control

Favorites 0GitHub 162

create-auth-skill

by better-auth

create-auth-skill ayuda a añadir Better Auth a aplicaciones JS o TS con un flujo de trabajo centrado primero en la planificación. Analiza tu repositorio, detecta señales del framework y la base de datos, plantea preguntas estructuradas de configuración y luego guía la conexión de rutas, providers, páginas de autenticación y una implementación segura para migraciones.

Access Control

Favorites 0GitHub 162

better-auth-best-practices

by better-auth

better-auth-best-practices ayuda a los desarrolladores a instalar y usar Better Auth con las variables de entorno correctas, la ubicación adecuada de `auth.ts`, los pasos de `migrate` o `generate` en la CLI, las actualizaciones de plugins y la verificación en `/api/auth/ok`.

Access Control

Favorites 0GitHub 162

claude-api

by anthropics

claude-api es una skill práctica para instalar y usar la Claude API y los SDKs de Anthropic. Ayuda a elegir entre el SDK adecuado o HTTP directo, localizar la documentación por lenguaje e implementar streaming, uso de herramientas, archivos, lotes y manejo de errores con menos prueba y error.

API Development

Favorites 0GitHub 105k

ckm:design-system

by nextlevelbuilder

ckm:design-system te ayuda a crear tokens en tres capas, especificaciones de componentes, variables CSS, mapeos a Tailwind y slides de marca coherente a partir de una arquitectura clara de tokens.

Design Systems

Favorites 0GitHub 53.6k

vercel-react-best-practices

by vercel-labs

vercel-react-best-practices es una skill de Vercel Engineering que guía a agentes de IA para optimizar el rendimiento de React y Next.js con reglas priorizadas para waterfalls, tamaño de bundle y renderizado.

Frontend Development

Favorites 0GitHub 24k

shadcn

by shadcn-ui

Usa la skill shadcn para revisar el contexto del proyecto, ejecutar los comandos CLI adecuados, instalar componentes y componer interfaces con patrones documentados para base vs radix, formularios, temas y registries.

UI Design

Favorites 0GitHub 111k

systematic-debugging

by obra

systematic-debugging es una skill de depuración centrada primero en encontrar la causa raíz para abordar bugs, pruebas intermitentes, fallos de build y comportamientos inesperados. Conoce su flujo de trabajo de cuatro fases, los archivos complementarios y cuándo conviene usarla antes de proponer correcciones.

Debugging

Favorites 0GitHub 121.8k

xlsx

by anthropics

La skill xlsx ayuda a los agentes a leer, editar, reparar, crear y convertir archivos .xlsx, .xlsm, .csv y .tsv cuando el entregable requerido es una hoja de cálculo. Destaca en actualizaciones que preservan plantillas, ediciones seguras para fórmulas, limpieza de tablas desordenadas y flujos prácticos respaldados por scripts del repositorio para empaquetado, validación y recálculo.

Spreadsheet Workflows

Favorites 0GitHub 105.1k

skill-creator

by anthropics

skill-creator es una metahabilidad de creación de Skills para redactar nuevas skills, revisar archivos SKILL.md, ejecutar evaluaciones, comparar variantes y mejorar descripciones de activación con scripts del repositorio y herramientas de revisión.

Skill Authoring

Favorites 0GitHub 105.1k

pptx

by anthropics

Usa la skill pptx para leer, crear, editar, dividir, combinar e inspeccionar archivos .pptx de PowerPoint. Te guía en la extracción de texto con markitdown, la revisión de miniaturas, los flujos de unpack/edit/clean/pack y la creación de presentaciones nuevas con PptxGenJS.

PowerPoint

Favorites 0GitHub 105.1k

pdf

by anthropics

La skill pdf guía tareas de procesamiento de PDF como extracción de texto, combinación y división de archivos, renderizado de páginas a imágenes y flujos de trabajo con formularios PDF. Resulta especialmente útil para comprobar campos rellenables, extraer metadatos de formularios y validar con scripts diseños de formularios no rellenables.

PDF Processing

Favorites 0GitHub 105.1k

mcp-builder

by anthropics

mcp-builder es una guía práctica para planificar, crear y evaluar servidores MCP para APIs y servicios externos. Ayuda a definir el alcance y nombre de las herramientas, el transporte, los patrones de implementación en Python o Node y los flujos de evaluación para que los agentes usen el servidor de forma fiable.

MCP Server Development

Favorites 0GitHub 105k

copy-editing

by coreyhaines31

Usa la skill copy-editing para mejorar copy de marketing ya existente con un flujo de trabajo Seven Sweeps. Consulta los pasos de instalación, los archivos recomendados, los prompts de uso y cómo mantener la voz de la marca mientras mejoras la redacción, la corrección, la claridad y la edición del texto para Proofreading.

Proofreading

Favorites 0GitHub 17.3k

revops

by coreyhaines31

La skill revops ayuda a los agentes a diseñar y optimizar operaciones de ingresos, incluyendo la gestión del ciclo de vida de leads, scoring, enrutamiento y automatización en CRM. Utiliza revops para definir etapas del ciclo de vida, crear modelos de puntuación, establecer reglas de enrutamiento e implementar flujos de automatización en HubSpot, Salesforce o entornos mixtos. Ideal para responsables de RevOps, administradores de CRM y líderes GTM que buscan marcos prácticos y archivos de referencia para operaciones CRM. Instala desde el repositorio principal y sigue la guía para obtener los mejores resultados.

CRM Operations

Favorites 0GitHub 17.3k