better-auth-security-best-practices
作成者 better-authレート制限、シークレット管理、CSRF対策、セッションセキュリティ、暗号化、IP追跡、監査ログなど、認証に関するベストプラクティスでBetter Authの導入を安全に保護します。ブルートフォース攻撃の防止や認証システムの強化を目指すチームに最適です。
概要
better-auth-security-best-practicesスキルは、Better Authの導入に必要な包括的なセキュリティ制御を提供します。認証ワークフローの保護、ブルートフォース攻撃の防止、最新のセキュリティ基準への準拠を目指す開発者やチーム向けに設計されています。このスキルは、シークレット管理、レート制限、CSRF保護、セッション・クッキーのセキュリティ、OAuthトークンの暗号化、IP追跡、監査ログなど重要な領域をカバーします。
このスキルを使うべき人
- 本番環境でBetter Authを導入するチーム
- 強固な認証セキュリティを実装したい開発者
- セキュリティ監査の要件を満たす必要がある組織
解決できる課題
- ブルートフォース攻撃やクレデンシャルスタッフィングの防止
- シークレットの適切な管理と漏洩防止
- CSRFやセッションハイジャックからの保護
- 認証イベントの監査証跡の有効化
使い方
インストール手順
-
プロジェクトにスキルを追加します:
npx skills add https://github.com/better-auth/skills --skill security -
まずは
SKILL.MDファイルで概要を確認しましょう。より詳細な情報はREADME.md、AGENTS.md、metadata.json、およびrules/、resources/、scripts/ディレクトリを参照してください。
主要な設定項目
シークレット管理
options.secretパラメータまたはBETTER_AUTH_SECRET環境変数で認証シークレットを設定します。- シークレットは最低32文字、120ビットのエントロピーを確保してください。生成には
openssl rand -base64 32を使用します。 - シークレットをバージョン管理にコミットしないでください。
レート制限
- 本番環境ではデフォルトで有効化され、すべてのエンドポイントを保護します。
- Better Authの設定で時間枠と最大リクエスト数を調整可能です。
- ストレージは
memory(サーバーレスには非推奨)、database、またはsecondary-storage(Redisなど)を選択できます。
その他のセキュリティ機能
- CSRF保護と信頼できるオリジン設定
- セッションとクッキーの安全な取り扱い
- OAuthトークンの暗号化
- IPアドレスの追跡
- 認証イベントの監査ログ
ワークフローへの適応
- 提供される設定を自社のインフラやコンプライアンス要件に合わせて見直し、調整してください。
- 設定をそのままコピーせず、環境に最適化することを推奨します。
よくある質問
better-auth-security-best-practicesはいつ使うべきですか?
セキュリティが重要な環境、特に本番環境や監査対象の導入時に使用してください。
どのファイルから確認すればいいですか?
概要はSKILL.MDから始め、実装詳細は関連ファイルを順にご覧ください。
安全なシークレットはどうやって生成しますか?
openssl rand -base64 32を実行し、その結果をBETTER_AUTH_SECRETに設定してください。
レート制限はデフォルトで有効ですか?
はい、本番環境では有効で、エンドポイントごとにカスタマイズ可能です。
もっと例を見たい場合は?
リポジトリのrules/、resources/、scripts/フォルダに追加の設定例やヘルパースクリプトがあります。