springboot-security

par affaan-m

springboot-security est un guide pratique de sécurité Spring Boot pour l’authentification, l’autorisation, la validation, CSRF/CORS, les secrets, les en-têtes, la limitation de débit et les contrôles de dépendances. Utilisez le skill springboot-security pour des travaux d’audit de sécurité ou pour durcir un service Java avec moins de risques de mauvaise configuration de sécurité.

Étoiles156.3k

Favoris0

Commentaires0

Ajouté15 avr. 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add affaan-m/everything-claude-code --skill springboot-security

Score éditorial

Ce skill obtient 68/100, un score suffisant pour être सूची?

68/100

Points forts

Consignes d’activation claires pour les tâches courantes de Spring Security comme l’authentification, l’autorisation, la validation, CSRF, les secrets, la limitation de débit et la sécurité des dépendances.
Contenu de fond avec exemples de code et références de dépôt/fichiers, ce qui améliore la déclenchabilité et limite les requêtes trop génériques.
Un frontmatter valide et un corps de skill non trivial indiquent qu’il s’agit d’un vrai guide de workflow, pas d’un simple placeholder.

Points de vigilance

Absence de commande d’installation, de scripts ou de fichiers de référence d’accompagnement, ce qui peut imposer une lecture/interprétation manuelle plutôt qu’une configuration prête à l’emploi.
Présence de marqueurs de remplacement, donc certaines sections peuvent rester incomplètes ou moins soignées que le cœur du guide de workflow.

Spring Boot Spring Java Authentication Authorization Csrf Jwt Oauth2

Vue d’ensemble

Présentation de springboot-security

springboot-security est un guide pratique de sécurité Spring Boot pour les équipes qui doivent livrer une authentification plus sûre, une gestion fiable des entrées et une protection des endpoints sans deviner les valeurs par défaut de Spring Security. Utilisez le skill springboot-security lorsque vous devez décider comment ajouter l’authentification, l’autorisation, les contrôles CSRF/CORS, les en-têtes de sécurité, la gestion des secrets, la limitation de débit ou les vérifications de dépendances dans un service Java.

À quoi sert ce skill

Ce skill convient surtout aux ingénieurs et aux relecteurs qui veulent un plan d’implémentation orienté sécurité, pas un tutoriel générique. Il aide à répondre à la question : « Qu’est-ce que je dois changer en premier dans cette application Spring Boot, et quels patterns sont suffisamment sûrs pour être adoptés ? »

Quand il est le plus pertinent

Utilisez springboot-security pour un travail d’audit de sécurité, la mise en place d’un service from scratch, ou le durcissement d’une API existante avant livraison. Il est particulièrement utile pour évaluer si un design doit utiliser des sessions, JWT ou des jetons opaques, déterminer où doit se faire la validation, et distinguer les contrôles de sécurité obligatoires de ceux qui sont optionnels.

Principales différences

La valeur de springboot-security vient de son orientation très ciblée sur les points de rupture fréquents : frontières d’authentification, validation des requêtes, gestion des jetons et configuration de sécurité. Il explique moins la théorie de Spring Security qu’il ne guide des décisions concrètes qui réduisent le risque de mauvaise configuration.

Comment utiliser le skill springboot-security

Installez-le et activez-le

Installez le skill springboot-security dans votre environnement Claude Code avec le gestionnaire de skills du dépôt, puis pointez-le vers la base de code Spring Boot que vous voulez auditer ou modifier. Si votre workflow s’appuie sur un répertoire de skills, gardez le skill actif pendant la rédaction de code sensible à la sécurité, de commentaires de revue ou de notes d’audit.

Donnez-lui les bonnes informations d’entrée

Le mode d’utilisation de springboot-security fonctionne mieux si vous précisez le type d’application, le modèle d’authentification, le risque de menace et la stack actuelle. Voici des exemples d’entrées solides :

“Review this Spring Boot API for JWT auth, role checks, and CSRF gaps.”
“Design security for a session-based admin console with form login.”
“Audit this controller layer for validation and authorization mistakes.”

Une demande trop vague comme “make this secure” ne suffit pas. Indiquez aussi si le service est orienté navigateur ou API-only, s’il stocke des sessions utilisateur, et si vous avez besoin d’un plan de correction ou d’une revue de code.

Lisez le dépôt dans cet ordre

Commencez par SKILL.md pour comprendre le workflow recommandé, puis examinez les sections qui correspondent à votre tâche : authentification, autorisation, validation et contrôles de sécurité. Si le skill est intégré dans un dépôt plus large, consultez aussi README.md, AGENTS.md, metadata.json, ainsi que tout chemin d’aide ou de référence lié avant de prendre des décisions d’implémentation.

Utilisez-le pour une revue et une implémentation concrètes

Considérez springboot-security comme un outil d’aide à la décision. Demandez-lui de relier les endpoints aux rôles requis, d’identifier où la validation doit s’effectuer et de repérer les endroits où des secrets ou des jetons pourraient être exposés. Pour obtenir un meilleur résultat, fournissez les noms des contrôleurs, les chemins des endpoints, des exemples de payloads et la configuration de sécurité actuelle afin que le skill recommande des changements plutôt qu’un simple rappel de bonnes pratiques générales.

FAQ du skill springboot-security

springboot-security sert-il uniquement aux audits ?

Non. Le skill springboot-security est utile pour les nouvelles fonctionnalités, les refontes et le durcissement avant mise en production, en plus des tâches d’audit de sécurité. Il devient particulièrement précieux lorsqu’il faut une recommandation de pattern avant même d’écrire le code.

Dois-je déjà connaître Spring Security ?

Une connaissance de base de Spring Boot suffit pour commencer. Le skill est surtout utile quand vous connaissez déjà le modèle de connexion de votre application et que vous cherchez des conseils sur la configuration sûre, le filtrage des requêtes et la protection des endpoints.

Quand ne faut-il pas l’utiliser ?

N’utilisez pas springboot-security si votre problème n’a rien à voir avec la sécurité, ou si vous avez besoin d’un débogage approfondi du framework sans lien avec l’authentification, la validation ou la gestion des secrets. Ce skill est aussi peu adapté si vous voulez une revue d’architecture complète sur des sous-systèmes sans rapport.

En quoi est-il différent d’une demande classique ?

Une demande classique produit souvent des conseils ponctuels. Le skill springboot-security vous donne un guide reproductible pour le travail de sécurité Spring Boot, ce qui aide à garder alignés les critères de revue, les étapes d’implémentation et les vérifications d’audit au fil des itérations.

Comment améliorer le skill springboot-security

Rendez le contexte applicatif précis

Les meilleurs résultats avec springboot-security viennent du fait d’indiquer d’emblée le type d’application et ses contraintes de sécurité. Précisez si le service est sans état, orienté navigateur, multi-tenant, exposé publiquement ou réservé à un usage interne. Cela change la bonne réponse pour les sessions, CSRF, CORS et le stockage des jetons.

Fournissez des artefacts plutôt que des abstractions

Si vous voulez un résultat exploitable, incluez des extraits de contrôleurs, des classes de filtre/configuration, des exemples de requêtes et de réponses, ainsi que le flux d’authentification déjà en place. Le skill springboot-security peut raisonner beaucoup plus précisément lorsqu’il peut inspecter la forme réelle des endpoints et les règles de sécurité.

Demandez une décision de sécurité, pas seulement une checklist

Une bonne itération ressemble à ceci : “Choose between JWT and server sessions for this API, then explain the tradeoffs and implementation steps.” Cela pousse le skill springboot-security à produire une décision applicable, plutôt qu’une liste générique de contrôles.

Reserrez après le premier passage

Utilisez la première réponse pour repérer le point le plus risqué, puis relancez springboot-security avec un périmètre plus étroit : rôles manquants, gestion de l’expiration des jetons, couverture de validation ou résultats d’analyse des dépendances. Cela garde l’itération suivante ciblée et améliore la qualité du plan de correction.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

audit-website

par squirrelscan

La skill audit-website s’appuie sur le CLI `squirrel` pour auditer des sites web et webapps selon plus de 230 règles couvrant le SEO, la technique, le contenu, les performances, la sécurité, les liens et l’état général du site, puis fournit des rapports exploitables et prêts pour les LLM.

UX Audit

Favoris 0GitHub 68

skill-comply

par affaan-m

skill-comply est une compétence de test de conformité qui vérifie, en conditions réelles, si un agent respecte une skill, une règle ou une définition d’agent. Elle génère des spécifications à partir de markdown, exécute trois niveaux de rigueur des prompts, classe les chronologies d’appels d’outils et fournit des taux de conformité avec preuves à l’appui. Utile pour skill-comply pour la conformité.

Compliance Review

Favoris 0GitHub 156.3k

security-scan

par affaan-m

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

Security Audit

Favoris 0GitHub 156.3k

perl-security

par affaan-m

perl-security vous aide à auditer du code Perl pour améliorer la gestion des entrées, le mode taint, l’exécution de commandes shell, les paramètres DBI et les problèmes de sécurité web comme XSS, SQLi et CSRF. Utilisez ce skill perl-security pour les audits de sécurité, la planification des remédiations et le développement sécurisé lorsque des données contrôlées par l’utilisateur atteignent des points sensibles.

Security Audit

Favoris 0GitHub 156.2k

laravel-security

par affaan-m

Le skill laravel-security est une checklist pratique de sécurité Laravel couvrant l’authentification et l’autorisation, la validation, CSRF, la mass assignment, les envois de fichiers, les secrets, le rate limiting et le déploiement sécurisé. Utilisez-le pour les audits, les revues de fonctionnalités et le renforcement de la sécurité des applications Laravel.

Security Audit

Favoris 0GitHub 156.2k

healthcare-eval-harness

par affaan-m

healthcare-eval-harness est un cadre d’évaluation de la sécurité des patients pour les déploiements d’applications de santé. Il aide les équipes à vérifier la précision du CDSS, l’exposition des PHI, l’intégrité des données, le comportement des flux cliniques et la conformité des intégrations avant mise en production. Les échecs critiques bloquent le déploiement, ce qui en fait un outil utile pour healthcare-eval-harness dans l’évaluation de modèles et les garde-fous de sécurité CI.

Model Evaluation

Favoris 0GitHub 156.2k

github-ops

par affaan-m

github-ops est une compétence d’opérations GitHub pour trier les issues, gérer les PR, analyser les échecs CI, préparer les releases et surveiller la santé d’un dépôt avec la CLI gh. Utilisez la compétence github-ops lorsque vous avez besoin d’un usage reproductible de github-ops sur un dépôt réel, avec authentification via gh auth login et un contexte de dépôt clairement défini.

Github

Favoris 0GitHub 156.2k

ecc-tools-cost-audit

par affaan-m

ecc-tools-cost-audit est une compétence d’audit fondée sur des preuves pour enquêter sur les pics de coûts, les créations de PR en boucle, les contournements de quota, les fuites vers des modèles premium et les tâches en double dans ECC Tools. Utilisez-la pour des investigations en Backend Development qui suivent une requête depuis le webhook jusqu’au worker et à la décision de facturation, afin de démontrer précisément où les dépenses sont générées.

Backend Development

Favoris 0GitHub 156.1k

defi-amm-security

par affaan-m

defi-amm-security est une checklist de sécurité ciblée pour les AMM Solidity, les pools de liquidité, les coffres LP et les flux de swap. Elle aide les auditeurs et les ingénieurs à examiner la réentrance, l’ordre CEI, les attaques par donation ou inflation, les hypothèses d’oracle, le slippage, les contrôles d’administration et l’arithmétique entière avec moins d’incertitude qu’avec un prompt générique.

Security Audit

Favoris 0GitHub 156.1k

code-reviewer

par Shubhamsaboo

code-reviewer est une skill de revue de code par IA qui suit un ordre d’analyse strict : sécurité, performances, exactitude et maintenabilité. Elle s’appuie sur des fichiers de règles pour la SQL injection, le XSS, les requêtes N+1, la gestion des erreurs, le nommage et les indications de type, afin de rendre les revues de PR plus cohérentes qu’avec un prompt de revue générique.

Code Review

Favoris 0GitHub 104.2k

stride-analysis-patterns

par wshobson

stride-analysis-patterns aide les agents à mener une analyse de menaces STRIDE structurée sur des architectures, des API et des flux de données. Installez-la depuis le repo wshobson/agents, consultez le fichier SKILL.md, puis utilisez-la pour transformer des descriptions système en menaces catégorisées et en revues axées sur les contrôles de sécurité.

Threat Modeling

Favoris 0GitHub 32.6k

anti-reversing-techniques

par wshobson

anti-reversing-techniques est une skill de rétro-ingénierie pour l’analyse de malware autorisée, les CTF, le triage de binaires packés et les audits de sécurité. Elle vous aide à repérer les mécanismes anti-debug, anti-VM, de packing et d’obfuscation, puis à choisir un workflow d’analyse pragmatique à l’aide de la skill principale et de la référence avancée.

Security Audit

Favoris 0GitHub 32.6k

k8s-security-policies

par wshobson

k8s-security-policies aide les équipes à concevoir des NetworkPolicy Kubernetes, des labels Pod Security Standards et des modèles RBAC à partir de templates et de références du dépôt, pour renforcer la sécurité et préparer des déploiements auditables.

Security Audit

Favoris 0GitHub 32.6k