email-and-password-best-practices

par better-auth

email-and-password-best-practices vous aide à configurer dans Better Auth la connexion par e-mail/mot de passe, les e-mails de vérification, les flux de réinitialisation, les règles de mot de passe, les options de hachage et l’étape de migration requise.

Étoiles162

Favoris0

Commentaires0

Ajouté30 mars 2026

CatégorieAccess Control

Commande d’installation

npx skills add https://github.com/better-auth/skills --skill emailandpassword

Score éditorial

Cette compétence obtient un score de 78/100, ce qui en fait une fiche solide dans l’annuaire pour les agents travaillant avec l’authentification Better Auth par e-mail/mot de passe. Le dépôt fournit un déclencheur clair, des exemples de configuration concrets et un parcours de mise en place exploitable pour la vérification d’e-mail et la réinitialisation de mot de passe. Les utilisateurs peuvent donc généralement décider de l’installer avec un niveau de confiance raisonnable, même si certains détails opérationnels restent à déduire des connaissances Better Auth environnantes.

78/100

Points forts

Bonne capacité de déclenchement : le frontmatter couvre explicitement la connexion, `sign-in`, `sign-up`, l’authentification par identifiants et la sécurité des mots de passe avec Better Auth.
Contenu orienté workflow et concret : le Quick Start explique comment activer l’authentification e-mail/mot de passe, brancher les handlers de vérification et de réinitialisation, exécuter les migrations et tester le comportement des e-mails de vérification.
Exemples d’implémentation utiles : SKILL.md fournit une configuration concrète pour `emailVerification.sendVerificationEmail` et explique comment `url` et `token` sont utilisés.

Points de vigilance

L’adoption demande encore une part d’interprétation, car le dépôt ne contient qu’un seul fichier SKILL.md, sans scripts, références ni fichiers dédiés à l’installation.
Les contraintes opérationnelles et les cas limites sont peu documentés ; les signaux structurels ne montrent pas de section explicite sur les contraintes, ce qui peut laisser sans réponse des questions de politique ou de modes d’échec.

Better Auth Auth Security Backend Email Password

Vue d’ensemble

Présentation de la skill email-and-password-best-practices

La skill email-and-password-best-practices est un guide de configuration Better Auth ciblé pour les équipes qui mettent en place une connexion classique par identifiants, avec les éléments de sécurité souvent oubliés : vérification d’email, réinitialisation de mot de passe, politique de mot de passe et configuration du hashage. Elle convient particulièrement aux développeurs qui savent déjà qu’ils veulent utiliser Better Auth et qui cherchent une voie rapide et correcte vers des parcours email/mot de passe prêts pour la production, plutôt qu’un simple panorama générique de l’authentification.

Ce que cette skill vous aide à faire

Utilisez cette skill si votre objectif concret est de brancher un flux email/mot de passe complet et suffisamment sûr pour être mis en production :

activer la connexion email/mot de passe de Better Auth
envoyer des emails de vérification
imposer la vérification avant la connexion si nécessaire
ajouter l’envoi des emails de réinitialisation de mot de passe
appliquer des règles et validations de mot de passe
ajuster le comportement de hashage
exécuter l’étape de migration requise

Pour qui l’installer

Cette skill est particulièrement adaptée à :

des équipes produit qui ajoutent une connexion par nom d’utilisateur/email dans un projet Better Auth
des développeurs qui remplacent des invites d’authentification bricolées par un processus de mise en place reproductible
des workflows de code assistés par IA où vous voulez que l’agent retienne les noms de configuration spécifiques à Better Auth et leur ordre d’implémentation

Elle est moins utile si vous êtes encore en train de comparer plusieurs fournisseurs d’authentification, ou si votre application n’utilise que OAuth/passkeys et n’a pas besoin de mots de passe.

Pourquoi elle vaut mieux qu’un prompt générique sur l’auth

Un prompt générique peut demander à un agent « ajoute une connexion et une réinitialisation de mot de passe ». Cette skill resserre la demande autour des vrais réglages Better Auth et du bon ordre de configuration, notamment emailAndPassword: { enabled: true }, emailVerification.sendVerificationEmail, la gestion du reset password et npx @better-auth/cli@latest migrate. Cela rend le cas d’usage email-and-password-best-practices for Access Control nettement plus fiable.

Ce qu’il faut vérifier avant de l’adopter

Avant de l’installer, validez ces points de décision :

vous devez disposer d’une fonction d’envoi d’email, ou avoir prévu sa mise en place
vous devez décider si la connexion doit exiger un email vérifié
vous devez connaître vos exigences en matière de politique de mot de passe
vous devez avoir la possibilité d’exécuter les migrations Better Auth
vous devez être à l’aise avec l’édition de la configuration du serveur d’authentification, pas seulement avec les formulaires frontend

Comment utiliser la skill email-and-password-best-practices

Contexte d’installation pour la skill email-and-password-best-practices

Installez la skill depuis le dépôt Better Auth skills :

npx skills add https://github.com/better-auth/skills --skill emailAndPassword

Ensuite, invoquez-la dans une session de développement assistée par IA lorsque vous voulez configurer, auditer ou améliorer des flux d’identification par identifiants avec Better Auth.

Lisez d’abord ce fichier

Commencez par :

better-auth/emailAndPassword/SKILL.md

Cette partie du dépôt est légère ; l’essentiel de la valeur vient donc de l’application correcte des recommandations à votre codebase, plus que de l’exploration d’un vaste arbre de fichiers annexes.

Les informations dont la skill a besoin de votre part

Donnez à l’agent le contexte manquant que le dépôt ne peut pas deviner :

le chemin vers votre fichier de configuration Better Auth
si le mode email/mot de passe est déjà partiellement activé
votre fournisseur d’envoi d’emails ou votre fonction utilitaire dédiée
si la vérification d’email est facultative ou obligatoire
l’expérience utilisateur souhaitée pour la réinitialisation du mot de passe
vos exigences de longueur ou de complexité des mots de passe
si vous avez besoin de réglages de hashage personnalisés

Sans ce contexte, l’agent peut tout de même générer une base, mais le résultat restera générique.

Transformer un objectif flou en prompt solide

Prompt faible :

« Set up auth with Better Auth. »

Meilleur prompt :

« Use the email-and-password-best-practices skill to configure Better Auth email/password login in src/lib/auth.ts, require email verification before sign-in, add sendVerificationEmail using our existing sendEmail() helper, implement reset-password email sending, and tell me what migration command and test steps I need. »

Ce prompt fonctionne mieux parce qu’il précise l’emplacement du fichier, le niveau d’exigence souhaité, le mécanisme d’email déjà disponible et les livrables attendus.

Workflow recommandé pour la mise en place

Une séquence pratique consiste à :

Activer email/password dans Better Auth.
Ajouter l’envoi d’email de vérification.
Décider s’il faut imposer la vérification avant la connexion.
Ajouter l’envoi des emails de réinitialisation de mot de passe.
Appliquer les règles de validation des mots de passe.
Revoir les paramètres de hashage uniquement si vous avez une bonne raison de les personnaliser.
Exécuter la migration.
Tester de bout en bout l’inscription, la vérification, la connexion et la réinitialisation.

Cet ordre limite les retouches et correspond à la façon dont les équipes déboguent généralement un déploiement d’authentification.

La configuration centrale sur laquelle repose la skill

La skill s’articule autour de quelques fonctionnalités Better Auth :

emailAndPassword: { enabled: true }
emailVerification.sendVerificationEmail
emailAndPassword.requireEmailVerification
sendResetPassword
la configuration de la politique de mot de passe
la personnalisation de l’algorithme de hashage
npx @better-auth/cli@latest migrate

Si votre prompt ne précise pas lesquels de ces points vous intéressent, l’agent peut choisir des valeurs par défaut qui ne correspondent pas à votre intention.

La vérification d’email est le principal point de blocage à l’adoption de email-and-password-best-practices

Pour la plupart des équipes, le plus difficile n’est pas d’activer l’authentification par mot de passe, mais de livrer la vérification d’email de manière sûre. La skill est utile parce qu’elle rappelle à l’agent que sendVerificationEmail reçoit { user, url, token }, et que le url fourni contient déjà le lien de vérification. Cela évite de reconstruire le lien de travers alors qu’une URL complète est déjà disponible.

Quand imposer un email vérifié

Utilisez emailAndPassword.requireEmailVerification lorsque votre modèle de contrôle d’accès suppose une identité confirmée avant toute utilisation du compte. La documentation du dépôt signale aussi un comportement important : les utilisateurs non vérifiés reçoivent un nouvel email de vérification lorsqu’ils essaient de se connecter. C’est un détail très concret que beaucoup de prompts génériques oublient.

Recommandations d’usage pour la réinitialisation du mot de passe

Si votre application prend en charge la récupération en cas d’oubli de mot de passe, demandez explicitement à l’agent de brancher sendResetPassword et de montrer le parcours utilisateur complet :

demander une réinitialisation
recevoir l’email
suivre le lien
définir un nouveau mot de passe
se reconnecter

Ne demandez pas seulement un « backend de reset password », sinon vous risquez d’obtenir une implémentation incomplète sans étape réelle d’envoi.

Politique de mot de passe et validation côté client

La skill couvre la politique de mot de passe, mais vous obtiendrez de meilleurs résultats si vous indiquez clairement :

la longueur minimale
si des caractères spéciaux sont obligatoires
si la validation frontend doit refléter exactement les règles backend
s’il faut renvoyer des messages de validation compréhensibles pour l’utilisateur

C’est particulièrement important si votre équipe veut un comportement cohérent entre l’inscription, le changement de mot de passe et les flux de réinitialisation.

La personnalisation du hashage n’est pas toujours nécessaire

Le parcours email-and-password-best-practices usage inclut la personnalisation du hashage, mais il faut la considérer comme un besoin avancé. Si vous n’avez pas de contrainte de conformité, de migration ou de performance, demandez plutôt à l’agent de conserver des valeurs sûres par défaut et de les expliquer, au lieu de changer inutilement d’algorithme.

Checklist de test pratique après implémentation

Demandez à l’agent de valider les scénarios suivants :

l’inscription d’un nouvel utilisateur réussit
l’email de vérification est envoyé
le lien de vérification fonctionne
la connexion d’un utilisateur non vérifié est bloquée si requis
une nouvelle tentative de connexion renvoie bien un email de vérification quand prévu
l’email de réinitialisation de mot de passe est envoyé correctement
l’ancien mot de passe ne fonctionne plus après la réinitialisation
la validation du mot de passe échoue clairement sur une saisie trop faible

C’est là que le guide email-and-password-best-practices fait vraiment mieux qu’une lecture rapide du dépôt : il vous aide à tester le comportement réel, pas seulement à copier de la configuration.

FAQ sur la skill email-and-password-best-practices

Cette skill est-elle uniquement pour Better Auth ?

Oui. Il s’agit d’une skill spécifique à Better Auth, centrée sur sa configuration et ses flux. Si vous n’utilisez pas Better Auth, les noms de configuration et l’étape de migration ne se transposeront pas directement.

La skill email-and-password-best-practices est-elle adaptée aux débutants ?

Plutôt oui, à condition que vous sachiez déjà où se trouve votre configuration d’authentification et comment votre application envoie des emails. Les grands débutants auront probablement encore besoin d’aide sur SMTP, les fournisseurs d’email transactionnel, le câblage des routes et les formulaires frontend.

Est-ce qu’elle installe quoi que ce soit toute seule ?

Non. La skill sert de guide dans un workflow assisté par IA. Votre projet doit malgré tout avoir Better Auth en place, l’intégration avec le fournisseur d’email sur lequel vous comptez, et la commande de migration doit être exécutée dans votre environnement.

Dans quels cas ne faut-il pas utiliser cette skill ?

Passez votre chemin si :

vous n’avez besoin que d’OAuth ou de passkeys
vous comparez des plateformes d’authentification au lieu d’implémenter Better Auth
votre application interdit totalement la connexion par mot de passe
vous cherchez une revue large de l’architecture de sécurité, pas une tâche de configuration Better Auth

Quelle différence avec le fait de demander de l’aide sur l’auth à un LLM ?

La skill email-and-password-best-practices est plus ciblée et plus actionnable. Elle oriente le modèle vers la vraie surface de configuration de Better Auth et vers les détails opérationnels autour des flux de vérification et de réinitialisation, ce qui réduit les API inventées et les étapes oubliées.

Est-elle utile pour email-and-password-best-practices for Access Control ?

Oui, surtout si votre contrôle d’accès dépend d’une identité vérifiée avant d’autoriser l’accès à l’application. L’obligation de bloquer la connexion d’un utilisateur non vérifié est l’une des décisions de politique les plus importantes que cette skill aide à mettre en place correctement.

Comment améliorer la skill email-and-password-best-practices

Donnez à la skill votre fichier d’auth exact et votre utilitaire d’envoi d’emails

Le moyen le plus rapide d’améliorer la qualité du résultat est d’indiquer à l’agent le bon fichier et l’utilitaire email existant. Par exemple :

« Edit src/lib/auth.ts and use lib/email/sendEmail.ts. »

Cela supprime les suppositions et limite les abstractions inventées.

Indiquez dès le départ votre politique de vérification

Pour un travail email-and-password-best-practices, une seule phrase manquante peut générer beaucoup d’allers-retours :

« Users must verify email before first sign-in. »

« Users can sign in before verification, but we still send verification email. »

Si vous ne le précisez pas, l’implémentation peut être sûre, mais inadaptée à votre produit.

Demandez un résultat de bout en bout, pas seulement de la configuration

Une demande plus solide serait :

« Configure the backend and show the frontend/user flow, email triggers, migration command, and manual test plan. »

Cela évite les résultats incomplets où le serveur d’authentification est configuré, mais où personne ne sait comment les utilisateurs terminent réellement le parcours.

Surveillez les modes d’échec les plus courants

Parmi les problèmes fréquents avec cette skill :

oublier d’implémenter l’envoi d’email réel
générer des liens de vérification personnalisés alors que url est déjà fourni
activer la vérification sans décider si la connexion doit être bloquée
brancher le transport de reset password sans tester le chemin de callback
ajouter des règles de mot de passe côté frontend qui ne correspondent pas à la validation backend

Donnez des règles précises pour une gestion des mots de passe plus solide

Si la robustesse des mots de passe compte dans votre contexte, donnez des exigences exactes. « Use strong passwords » est trop vague. De meilleurs prompts mentionnent la longueur, les motifs interdits, les attentes autour de la réinitialisation et si les utilisateurs existants doivent se conformer immédiatement ou seulement lors d’un changement/réinitialisation.

Demandez à l’agent d’expliquer les arbitrages, pas seulement de patcher le code

Ajout utile au prompt :

« Explain why you kept defaults or changed hashing settings, and note any security/usability tradeoffs. »

Cela facilite la relecture et aide les équipes à éviter les changements de sécurité appliqués par réflexe sans vraie justification.

Itérez après le premier jet avec des cas d’échec

Une fois la première implémentation produite par l’agent, améliorez-la en demandant :

« Now review this for unverified-user edge cases. »
« Add manual test cases for expired reset links. »
« Check whether password validation is consistent between sign-up and reset. »

C’est souvent dans ce second passage que la décision d’installer email-and-password-best-practices devient vraiment rentable, parce que la skill garde l’itération ancrée dans le comportement réel de Better Auth, plutôt que dans des conseils génériques sur l’authentification.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

two-factor-authentication-best-practices

by better-auth

Guide two-factor-authentication-best-practices pour Better Auth : installez le plugin twoFactor, ajoutez les redirections côté client, exécutez les migrations, vérifiez le schéma, puis implémentez TOTP, les codes de secours, les appareils de confiance et les parcours de connexion 2FA pour le contrôle d’accès.

Access Control

Favorites 0GitHub 163

organization-best-practices

by better-auth

organization-best-practices guide la configuration des organisations dans Better Auth pour le contrôle d’accès, avec les plugins serveur et client, la migration, les vérifications de base de données, la création d’organisations, les invitations, les rôles et les usages centrés sur le RBAC.

Access Control

Favorites 0GitHub 162

create-auth-skill

by better-auth

create-auth-skill aide à intégrer Better Auth dans des applications JS ou TS avec une approche d’abord centrée sur la planification. Il analyse le dépôt, détecte des indices sur le framework et la base de données, pose des questions de configuration structurées, puis guide le branchement des routes, les providers, les pages d’authentification et une mise en œuvre sûre vis-à-vis des migrations.

Access Control

Favorites 0GitHub 162

better-auth-best-practices

by better-auth

better-auth-best-practices aide les développeurs à installer et utiliser Better Auth avec les bonnes variables d’environnement, le bon emplacement de `auth.ts`, les étapes CLI `migrate` ou `generate`, les mises à jour de plugins et la vérification via `/api/auth/ok`.

Access Control

Favorites 0GitHub 162

claude-api

by anthropics

claude-api est une skill pratique pour installer et utiliser l’API Claude et les SDK Anthropic. Elle aide à choisir le bon SDK ou l’option HTTP brute, à repérer la documentation adaptée à chaque langage et à implémenter le streaming, l’usage d’outils, les fichiers, les batchs et la gestion des erreurs avec moins d’incertitude.

API Development

Favorites 0GitHub 105k

ckm:design-system

by nextlevelbuilder

ckm:design-system aide à créer des tokens en trois couches, des specs de composants, des variables CSS, des mappings Tailwind et des slides cohérents avec la marque à partir d’une architecture de tokens claire.

Design Systems

Favorites 0GitHub 53.6k

vercel-react-best-practices

by vercel-labs

vercel-react-best-practices est un skill Vercel Engineering qui aide les agents IA à optimiser les performances React et Next.js avec des règles prioritaires pour les waterfalls, la taille des bundles et le rendu.

Frontend Development

Favorites 0GitHub 24k

shadcn

by shadcn-ui

Utilisez la skill shadcn pour analyser le contexte du projet, exécuter les bonnes commandes CLI, installer des composants et composer une UI à partir de patterns documentés pour base vs radix, les formulaires, le theming et les registries.

UI Design

Favorites 0GitHub 111k

systematic-debugging

by obra

systematic-debugging est une skill de débogage centrée d’abord sur la cause racine, conçue pour les bugs, les tests instables, les échecs de build et les comportements inattendus. Découvrez son workflow en quatre phases, ses fichiers d’accompagnement et les cas où l’utiliser avant de proposer des correctifs.

Debugging

Favorites 0GitHub 121.8k

xlsx

by anthropics

Le skill xlsx aide les agents à lire, modifier, réparer, créer et convertir des fichiers .xlsx, .xlsm, .csv et .tsv quand le livrable attendu est un tableur. Il est particulièrement adapté aux mises à jour préservant les modèles, aux modifications de classeurs sans casser les formules, au nettoyage de tableaux désordonnés et aux workflows de tableur appuyés par des scripts du repo pour le packaging, la validation et le recalcul.

Spreadsheet Workflows

Favorites 0GitHub 105.1k

skill-creator

by anthropics

skill-creator est une méta-skill de création de skills pour rédiger de nouvelles skills, réviser des fichiers SKILL.md, lancer des évaluations, comparer des variantes et améliorer les descriptions de déclenchement avec les scripts du dépôt et des outils de revue.

Skill Authoring

Favorites 0GitHub 105.1k

pptx

by anthropics

Utilisez le skill pptx pour lire, créer, modifier, scinder, fusionner et analyser des fichiers PowerPoint .pptx. Il guide l’extraction de texte avec markitdown, la revue de miniatures, les workflows unpack/edit/clean/pack et la création de présentations avec PptxGenJS.

PowerPoint

Favorites 0GitHub 105.1k

pdf

by anthropics

Le skill pdf accompagne les tâches de traitement de PDF : extraction de texte, fusion et scission, rendu de pages en images et workflows autour des formulaires PDF. Il est particulièrement utile pour vérifier les champs remplissables, extraire les métadonnées de formulaires et valider par script la mise en page de formulaires non remplissables.

PDF Processing

Favorites 0GitHub 105.1k

mcp-builder

by anthropics

mcp-builder est un guide pratique pour planifier, créer et évaluer des serveurs MCP pour des API et services externes. Il aide les développeurs à définir le périmètre des outils, le nommage, le transport, les approches Python ou Node, ainsi que les workflows d’évaluation pour un usage fiable par les agents.

MCP Server Development

Favorites 0GitHub 105k

copy-editing

by coreyhaines31

Utilisez la skill copy-editing pour améliorer des contenus marketing existants avec un workflow Seven Sweeps. Découvrez les étapes d’installation, les fichiers recommandés, les prompts d’usage et la meilleure façon de préserver le ton tout en resserrant la formulation, la correction, la clarté et la copy-editing pour la relecture.

Proofreading

Favorites 0GitHub 17.3k

revops

by coreyhaines31

La skill revops aide les équipes à concevoir et optimiser les opérations de revenus, dont la gestion du cycle de vie des leads, le scoring, le routage et l’automatisation CRM. Utilisez revops pour définir les étapes du cycle de vie, créer des modèles de scoring, configurer des règles de routage et déployer des workflows automatisés sur HubSpot, Salesforce ou des environnements hybrides. Parfait pour les responsables RevOps, administrateurs CRM et leaders GTM cherchant des frameworks concrets et des fichiers de référence pour leurs opérations CRM. Installez via le dépôt principal et suivez le guide pour de meilleurs résultats.

CRM Operations

Favorites 0GitHub 17.3k