Authorization

springboot-security は、認証、認可、バリデーション、CSRF/CORS、シークレット、ヘッダー、レート制限、依存関係チェックまでをカバーする、実践的な Spring Boot セキュリティガイドです。Security Audit の作業や、Java サービスのセキュリティ設定ミスのリスクを抑えながら強化したい場合に、この springboot-security スキルを使ってください。

exploiting-jwt-algorithm-confusion-attack skill は、Security Audit のワークフローで JWT のアルゴリズム混同を検証するための skill です。RS256 から HS256 へのダウングレード、alg:none の回避、kid/jku/x5u ヘッダーのトリックまで幅広くカバーします。実践的なガイド、参考例、そして再現性のある検証に使えるスクリプトが用意されています。

exploiting-idor-vulnerabilities は、認可されたセキュリティ監査で API、Web アプリ、マルチテナント環境にまたがる Insecure Direct Object Reference（IDOR）脆弱性を検証するのに役立ちます。クロスセッション確認、オブジェクト対応付け、読み取り・書き込みの検証まで行えます。

oauth は、Fastifyアプリで OAuth 2.0/2.1 を実装・診断するためのスキルです。ログイン、アクセストークン、PKCE、リフレッシュトークン、ルート保護まで実務で役立つ形で扱えます。バックエンド開発で、実践的なoauthの使い方、導入手順、redirect URI・scope・CSRF・トークン検証の問題解決が必要なときに、ガイドとして活用できます。

この exploiting-broken-function-level-authorization スキルは、セキュリティ監査で API の Broken Function Level Authorization（BFLA）を検証するために役立ちます。特権エンドポイントの発見、低権限アクセスの確認、そしてメソッドやパスのバイパス検証に重点を置き、実践的で証拠に基づいたワークフローの指針を提供します。

detecting-api-enumeration-attacks は、連続するID、404の集中、認可失敗、ドキュメント探索パスを分析して、Security Audit チームが API のプロービング、BOLA、IDOR を検知するのを支援します。ログ駆動の検知指針、ルール作成、API 悪用パターンの実務レビューに向けて設計されています。

configuring-oauth2-authorization-flow skill は、Access Control 向けの OAuth 2.0 認可設定を設計・検証するための skill です。Authorization Code + PKCE、Client Credentials、Device Authorization Grant に対応しています。この configuring-oauth2-authorization-flow ガイドでは、適切な grant の選定、redirect URI の設定、scope の確認、そして OAuth 2.1 のベストプラクティスとの整合を進められます。

building-role-mining-for-rbac-optimization は、ユーザー権限データを分析し、ロール爆発を抑え、Access Control 向けにボトムアップ／トップダウンのロールマイニングを使って、より整理された RBAC ロールを設計するためのサイバーセキュリティ skill です。候補ロールの比較、最小権限の妥当性確認、そして生データの割り当てを実行可能なロール計画へ落とし込む用途に適しています。

building-identity-governance-lifecycle-process は、入社・異動・退職（JML）自動化、アクセスレビュー、ロールベースのプロビジョニング、放置アカウントの整理まで含めた、アイデンティティ・ガバナンスとライフサイクル管理の設計を支援します。一般的な方針案ではなく、実務で使えるワークフローの指針が必要な、システム横断のアクセス制御プログラムに適しています。

OWASPパターン、シークレット管理、セキュリティテストに対応する security スキルです。認証、ユーザー入力、APIキー、環境変数、リポジトリの健全性をレビューする際に使えます。特に Security Audit 関連の作業で有効です。