email-and-password-best-practices

por better-auth

email-and-password-best-practices ajuda você a configurar o login por email/senha no Better Auth, com emails de verificação, fluxos de redefinição, regras de senha, opções de hashing e a etapa obrigatória de migração.

Estrelas162

Favoritos0

Comentários0

Adicionado30 de mar. de 2026

CategoriaAccess Control

Comando de instalação

npx skills add https://github.com/better-auth/skills --skill emailandpassword

Pontuação editorial

Esta skill recebe 78/100, o que a torna uma opção sólida no diretório para agentes que trabalham com autenticação por email/senha no Better Auth. O repositório apresenta um gatilho de uso claro, exemplos concretos de configuração e um fluxo de setup utilizável para verificação de email e redefinição de senha, então na maioria dos casos o usuário consegue decidir pela instalação com confiança razoável, embora alguns detalhes operacionais ainda dependam de conhecimento complementar sobre o Better Auth.

78/100

Pontos fortes

Alta capacidade de acionamento: o frontmatter cobre explicitamente login, sign-in, sign-up, autenticação por credenciais e segurança de senhas com Better Auth.
Conteúdo prático de fluxo de trabalho: o Quick Start inclui habilitar email/senha, conectar handlers de verificação e redefinição, executar migrações e testar o comportamento do email de verificação.
Exemplos úteis de implementação: o SKILL.md traz código de configuração concreto para `emailVerification.sendVerificationEmail` e explica como `url` e `token` são usados.

Pontos de atenção

A adoção ainda exige alguma interpretação, porque o repositório tem apenas um único SKILL.md e não inclui scripts de apoio, referências ou arquivos específicos de instalação.
Restrições operacionais e casos de borda são pouco documentados; os sinais estruturais mostram que não há uma seção explícita de limitações, o que pode deixar dúvidas sobre políticas e modos de falha.

Better Auth Auth Security Backend Email Password

Visão geral

Visão geral da skill email-and-password-best-practices

A skill email-and-password-best-practices é um guia objetivo de configuração do Better Auth para equipes que estão implementando login clássico com credenciais, cobrindo as partes de segurança que muita gente costuma deixar passar: verificação de e-mail, redefinição de senha, política de senha e configuração de hashing de senha. Ela é mais indicada para desenvolvedores que já decidiram usar Better Auth e precisam de um caminho rápido e correto até fluxos de e-mail/senha prontos para produção, em vez de uma explicação genérica sobre autenticação.

O que esta skill ajuda você a fazer

Use esta skill quando a sua necessidade real for montar um fluxo completo de e-mail/senha seguro o suficiente para colocar em produção:

habilitar login por e-mail/senha no Better Auth
enviar e-mails de verificação
exigir verificação antes do login, quando necessário
adicionar envio de redefinição de senha
aplicar regras e validação de senha
ajustar o comportamento de hashing
executar a etapa de migração obrigatória

Para quem vale a pena instalar

Esta skill faz bastante sentido para:

equipes de produto adicionando login com username/e-mail a um projeto com Better Auth
desenvolvedores substituindo fluxos improvisados de auth por um caminho de configuração mais consistente
workflows com codificação assistida por IA, quando você quer que o agente lembre os nomes de configuração e a sequência corretos do Better Auth

Ela é menos útil se você ainda está escolhendo entre provedores de autenticação ou se o seu app usa apenas OAuth/passkeys e não precisa de senhas.

Por que ela é melhor do que um prompt genérico sobre auth

Um prompt genérico pode pedir ao agente algo como “adicione login e redefinição de senha”. Esta skill transforma isso nos controles reais do Better Auth e na ordem de setup esperada, incluindo emailAndPassword: { enabled: true }, emailVerification.sendVerificationEmail, tratamento de reset de senha e npx @better-auth/cli@latest migrate. Isso torna o caso de uso email-and-password-best-practices for Access Control muito mais confiável.

O que mais importa antes de adotar

Antes de instalar, valide estes pontos de decisão:

você precisa já ter uma função de envio de e-mail pronta, ou ao menos planejada
é preciso decidir se o login deve exigir e-mail verificado
convém já saber quais são suas expectativas de política de senha
você precisa ter acesso para rodar as migrations do Better Auth
é importante estar confortável editando a configuração do servidor de auth, e não só os formulários de frontend

Como usar a skill email-and-password-best-practices

Contexto de instalação da skill email-and-password-best-practices

Instale a skill a partir do repositório de skills do Better Auth:

npx skills add https://github.com/better-auth/skills --skill emailAndPassword

Depois, invoque a skill em uma sessão de coding com IA quando quiser configurar, auditar ou melhorar fluxos de credenciais no Better Auth.

Leia este arquivo primeiro

Comece por:

better-auth/emailAndPassword/SKILL.md

Este trecho do repositório é enxuto, então o principal valor está em aplicar a orientação corretamente no seu codebase, e não em explorar uma árvore grande de arquivos de apoio.

De que informações a skill precisa da sua parte

Passe ao agente o contexto que o repositório não consegue deduzir sozinho:

o caminho do seu arquivo de configuração do Better Auth
se e-mail/senha já está parcialmente habilitado
qual provedor de envio de e-mail ou função helper você usa
se a verificação de e-mail é opcional ou obrigatória
qual UX de redefinição de senha você quer
quaisquer requisitos de tamanho ou complexidade de senha
se você precisa de configurações personalizadas de hashing

Sem esse contexto, o agente ainda consegue montar uma base, mas a saída tende a ficar genérica.

Transforme um objetivo vago em um prompt forte

Prompt fraco:

“Set up auth with Better Auth.”

Prompt melhor:

“Use the email-and-password-best-practices skill to configure Better Auth email/password login in src/lib/auth.ts, require email verification before sign-in, add sendVerificationEmail using our existing sendEmail() helper, implement reset-password email sending, and tell me what migration command and test steps I need.”

Isso funciona melhor porque informa o local do arquivo, a política desejada, o mecanismo de e-mail já existente e quais entregáveis você espera.

Fluxo de setup recomendado

Uma sequência prática é:

Habilitar e-mail/senha no Better Auth.
Adicionar o envio de e-mail de verificação.
Decidir se a verificação será obrigatória antes do login.
Adicionar o envio de e-mail de redefinição de senha.
Aplicar regras de validação de senha.
Revisar configurações de hashing apenas se houver um motivo real para customizá-las.
Rodar a migration.
Testar ponta a ponta os fluxos de cadastro, verificação, login e redefinição.

Essa ordem reduz retrabalho e acompanha a forma como as equipes normalmente depuram a entrada em produção da autenticação.

Configuração central em que a skill se apoia

A skill gira em torno de alguns recursos-chave do Better Auth:

emailAndPassword: { enabled: true }
emailVerification.sendVerificationEmail
emailAndPassword.requireEmailVerification
sendResetPassword
configuração de política de senha
customização do algoritmo de hashing
npx @better-auth/cli@latest migrate

Se o seu prompt não disser quais desses itens você precisa, o agente pode assumir defaults que não eram a sua intenção.

A verificação de e-mail é o principal ponto de travamento na adoção

Para a maioria das equipes, a parte mais difícil não é ativar autenticação por senha, e sim colocar a verificação em produção com segurança. A skill é útil porque lembra o agente de que sendVerificationEmail recebe { user, url, token }, e que o url fornecido já contém o link de verificação. Isso ajuda a evitar reconstruir links de forma incorreta quando uma URL completa já está disponível.

Quando exigir e-mail verificado

Use emailAndPassword.requireEmailVerification quando o seu modelo de controle de acesso pressupõe uma identidade confirmada antes de liberar o uso da conta. A orientação do repositório também chama atenção para um comportamento importante: usuários não verificados recebem um novo e-mail de verificação ao tentar fazer login. É um detalhe prático que muitos prompts genéricos deixam passar.

Orientação de uso para redefinição de senha

Se o seu app oferece recuperação de senha esquecida, peça explicitamente ao agente para conectar sendResetPassword e mostrar a jornada completa do usuário:

solicitar redefinição
receber o e-mail
seguir o link
definir uma nova senha
fazer login novamente

Não peça apenas “reset password backend”, ou você pode acabar com uma implementação parcial, sem a etapa de envio.

Política de senha e validação no cliente

A skill cobre política de senha, mas você terá resultados melhores se deixar claro:

comprimento mínimo
se caracteres especiais são obrigatórios
se a validação no frontend deve espelhar as regras do backend
se as mensagens de validação devem ser amigáveis para o usuário

Isso é especialmente importante se a sua equipe quer comportamento consistente entre cadastro, troca de senha e fluxos de redefinição.

Customização de hashing nem sempre é necessária

O caminho de uso de email-and-password-best-practices inclui customização de hashing, mas trate isso como um requisito avançado. Se você não tem uma razão de compliance, migração ou performance, peça ao agente para manter defaults seguros e explicá-los, em vez de trocar o algoritmo sem necessidade.

Checklist prático de testes após a implementação

Peça ao agente para validar estes cenários:

o cadastro de um novo usuário funciona
o e-mail de verificação é enviado
o link de verificação funciona
o login de usuário não verificado é bloqueado, quando exigido
uma nova tentativa de login dispara outro e-mail de verificação, quando esperado
o e-mail de redefinição de senha é enviado com sucesso
a senha antiga deixa de funcionar após a redefinição
a validação de senha falha de forma clara para entradas fracas

É aqui que o guia email-and-password-best-practices fica concretamente melhor do que apenas passar os olhos no repositório: ele ajuda você a testar comportamento, não só a colar configuração.

FAQ da skill email-and-password-best-practices

Esta skill serve só para Better Auth?

Sim. Esta é uma skill específica de provedor, voltada para configuração e fluxos do Better Auth. Se você não usa Better Auth, os nomes de configuração e a etapa de migration não se transferem diretamente.

A skill email-and-password-best-practices é amigável para iniciantes?

Em grande parte, sim, se você já entende onde fica a configuração de auth e como o seu app envia e-mail. Iniciantes absolutos talvez ainda precisem de ajuda separada com SMTP, provedores de e-mail transacional, ligação de rotas e formulários de frontend.

Ela instala alguma coisa sozinha?

Não. A skill funciona como orientação para um workflow com IA. Seu projeto ainda precisa ter o Better Auth configurado, a integração com o provedor de e-mail de que você depende e o comando de migration executado no seu ambiente.

Quando eu não devo usar esta skill?

Pode pular esta skill se:

você só precisa de OAuth ou passkeys
você está comparando plataformas de autenticação, e não implementando Better Auth
o seu app proíbe completamente login por senha
você quer uma revisão ampla de arquitetura de segurança, e não uma tarefa de configuração do Better Auth

Em que isso difere de pedir ajuda de auth a um LLM?

A skill email-and-password-best-practices é mais específica e mais acionável. Ela orienta o modelo para a superfície real de configuração do Better Auth e para os detalhes operacionais de verificação e redefinição de senha, o que reduz APIs alucinadas e etapas esquecidas.

Ela é útil para email-and-password-best-practices for Access Control?

Sim, especialmente quando o seu controle de acesso depende de identidade verificada antes de liberar acesso ao app. A necessidade de bloquear login de usuários não verificados é uma das decisões de política mais importantes que esta skill ajuda a implementar corretamente.

Como melhorar a skill email-and-password-best-practices

Passe à skill seu arquivo exato de auth e o helper de e-mail

A forma mais rápida de melhorar a qualidade da saída é apontar o agente para o arquivo certo e para a utility de e-mail já existente. Por exemplo:

“Edit src/lib/auth.ts and use lib/email/sendEmail.ts.”

Isso elimina suposições e reduz abstrações inventadas.

Deixe sua política de verificação explícita desde o início

Em trabalhos com email-and-password-best-practices, uma única frase ausente costuma gerar bastante retrabalho:

“Users must verify email before first sign-in.”

“Users can sign in before verification, but we still send verification email.”

Se você não especificar isso, a implementação pode até ser segura, mas errada para o seu produto.

Peça saída de fluxo ponta a ponta, não só configuração

Um pedido mais forte seria:

“Configure the backend and show the frontend/user flow, email triggers, migration command, and manual test plan.”

Isso evita saídas incompletas em que o servidor de auth foi configurado, mas ninguém sabe como o usuário conclui o fluxo.

Fique de olho nos modos de falha mais comuns

Problemas frequentes ao usar esta skill incluem:

esquecer de implementar o envio real de e-mail
gerar links de verificação customizados quando url já é fornecido
habilitar verificação sem decidir se o login deve ser bloqueado
conectar o transporte de reset de senha sem testar o caminho de callback
adicionar regras de senha no frontend que não batem com a validação do backend

Forneça detalhes de política para fortalecer o tratamento de senhas

Se força de senha é importante no seu contexto, inclua requisitos exatos. “Use senhas fortes” é vago demais. Prompts melhores mencionam tamanho, padrões proibidos, expectativas para reset e se usuários existentes precisam se adequar imediatamente ou só em troca/reset.

Peça ao agente que explique tradeoffs, não só altere o código

Uma boa adição ao prompt:

“Explain why you kept defaults or changed hashing settings, and note any security/usability tradeoffs.”

Isso melhora a revisabilidade e ajuda equipes a evitar mudanças de segurança por mera repetição de receita.

Itere após a primeira versão com casos de falha

Depois que o agente produzir uma implementação inicial, melhore o resultado pedindo:

“Now review this for unverified-user edge cases.”
“Add manual test cases for expired reset links.”
“Check whether password validation is consistent between sign-up and reset.”

É nessa segunda passada que a decisão de instalar email-and-password-best-practices costuma compensar de verdade, porque a skill mantém a iteração ancorada no comportamento real do Better Auth, e não em conselhos genéricos sobre auth.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

two-factor-authentication-best-practices

by better-auth

two-factor-authentication-best-practices para Better Auth: instale o plugin twoFactor, adicione redirecionamentos no cliente, execute as migrações, valide o schema e implemente TOTP, códigos de backup, dispositivos confiáveis e fluxos de login com 2FA para controle de acesso.

Access Control

Favorites 0GitHub 163

organization-best-practices

by better-auth

organization-best-practices orienta a configuração de organizações no Better Auth para controle de acesso, cobrindo plugins de servidor e cliente, migração, verificação do banco de dados, criação de organizações, convites, papéis e uso com foco em RBAC.

Access Control

Favorites 0GitHub 162

create-auth-skill

by better-auth

create-auth-skill ajuda a adicionar Better Auth a apps em JS ou TS com um fluxo que prioriza o planejamento. Ele analisa seu repositório, detecta sinais de framework e banco de dados, faz perguntas estruturadas sobre a configuração e depois orienta a conexão de rotas, provedores, páginas de autenticação e uma implementação segura para migrações.

Access Control

Favorites 0GitHub 162

better-auth-best-practices

by better-auth

better-auth-best-practices ajuda desenvolvedores a instalar e usar Better Auth com as variáveis de ambiente corretas, o local certo do `auth.ts`, etapas de `migrate` ou `generate` via CLI, atualizações de plugins e verificação em `/api/auth/ok`.

Access Control

Favorites 0GitHub 162

claude-api

by anthropics

claude-api é uma skill prática para instalar e usar a Claude API e os SDKs da Anthropic. Ajuda desenvolvedores a escolher entre o SDK certo ou HTTP bruto, encontrar a documentação por linguagem e implementar streaming, tool use, arquivos, batches e tratamento de erros com menos tentativa e erro.

API Development

Favorites 0GitHub 105k

ckm:design-system

by nextlevelbuilder

ckm:design-system ajuda você a criar tokens em três camadas, especificações de componentes, variáveis CSS, mapeamentos Tailwind e slides alinhados à marca a partir de uma arquitetura de tokens clara.

Design Systems

Favorites 0GitHub 53.6k

vercel-react-best-practices

by vercel-labs

vercel-react-best-practices é uma skill da Vercel Engineering que orienta agentes de IA a otimizar a performance de React e Next.js, com regras priorizadas para waterfalls, tamanho de bundle e rendering.

Frontend Development

Favorites 0GitHub 24k

shadcn

by shadcn-ui

Use a skill shadcn para inspecionar o contexto do projeto, executar os comandos de CLI corretos, instalar componentes e compor interfaces com padrões documentados para base vs radix, formulários, temas e registries.

UI Design

Favorites 0GitHub 111k

systematic-debugging

by obra

systematic-debugging é uma skill de debugging orientada primeiro à causa raiz, indicada para bugs, testes instáveis, falhas de build e comportamentos inesperados. Entenda o fluxo de trabalho em quatro fases, os arquivos complementares e quando usá-la antes de propor correções.

Debugging

Favorites 0GitHub 121.8k

xlsx

by anthropics

A skill xlsx ajuda agentes a ler, editar, reparar, criar e converter arquivos .xlsx, .xlsm, .csv e .tsv quando a entrega precisa ser uma planilha. Ela se destaca em atualizações que preservam templates, edições seguras de pastas de trabalho com fórmulas, limpeza de tabelas desorganizadas e fluxos práticos com scripts do repositório para empacotamento, validação e recálculo.

Spreadsheet Workflows

Favorites 0GitHub 105.1k

skill-creator

by anthropics

skill-creator é uma meta-skill de criação de Skills para rascunhar novas skills, revisar arquivos SKILL.md, rodar evals, comparar variantes e melhorar descrições de trigger com scripts e ferramentas de revisão do repositório.

Skill Authoring

Favorites 0GitHub 105.1k

pptx

by anthropics

Use a skill pptx para ler, criar, editar, dividir, mesclar e inspecionar arquivos .pptx do PowerPoint. Ela orienta na extração de texto com markitdown, revisão por miniaturas, fluxos de unpack/edit/clean/pack e criação de apresentações com PptxGenJS.

PowerPoint

Favorites 0GitHub 105.1k

pdf

by anthropics

A skill pdf orienta tarefas de processamento de PDFs, como extração de texto, mesclagem e divisão de arquivos, renderização de páginas em imagens e fluxos com formulários PDF. É especialmente útil para verificar campos preenchíveis, extrair metadados de formulários e validar layouts de formulários não preenchíveis com scripts.

PDF Processing

Favorites 0GitHub 105.1k

mcp-builder

by anthropics

mcp-builder é um guia prático para planejar, criar e avaliar servidores MCP para APIs e serviços externos. Ajuda desenvolvedores a definir escopo e nomes de ferramentas, transporte, padrões em Python ou Node e fluxos de avaliação para que agentes usem o servidor com confiabilidade.

MCP Server Development

Favorites 0GitHub 105k

copy-editing

by coreyhaines31

Use a skill copy-editing para aprimorar copy de marketing já existente com o fluxo Seven Sweeps. Veja como instalar, quais arquivos usar, prompts recomendados e como preservar a voz da marca enquanto melhora concisão, revisão, clareza e copy-editing para Proofreading.

Proofreading

Favorites 0GitHub 17.3k

revops

by coreyhaines31

O revops auxilia agentes a projetar e otimizar operações de receita, incluindo gestão do ciclo de vida de leads, pontuação, roteamento e automação de CRM. Com revops, é possível definir etapas do ciclo de vida, criar modelos de pontuação, configurar regras de roteamento e implementar fluxos automatizados no HubSpot, Salesforce ou stacks híbridas. Ideal para gestores de RevOps, administradores de CRM e líderes de GTM que buscam frameworks práticos e arquivos de referência para operações de CRM. Instale via repositório principal e siga o guia para melhores resultados.

CRM Operations

Favorites 0GitHub 17.3k