身份验证

x-api 協助你處理 X/Twitter API 的發文、讀取時間軸、搜尋，以及基本分析。它會引導你如何選擇驗證方式、端點與 API 開發任務中的請求格式，包括使用 bearer token 的讀取流程與 OAuth 1.0a 的寫入流程。

springboot-security 是一份實用的 Spring Boot 安全指南，涵蓋驗證、授權、資料驗證、CSRF/CORS、機密資訊、標頭、速率限制與依賴檢查。當你要進行 Security Audit 工作，或想以較少的安全設定錯誤風險來強化 Java 服務時，可使用 springboot-security 技能。

使用 security-review 技能來檢視 auth、使用者輸入、secrets、API、payments、uploads，以及其他敏感流程。它提供實用的安全檢視指南，包含清楚的通過／失敗檢查、風險模式範例，以及聚焦的流程，幫助在發布前找出常見問題。

laravel-security 技能是一份實用的 Laravel 資安檢查清單，涵蓋 authn/authz、驗證、CSRF、mass assignment、檔案上傳、密鑰、rate limiting 與安全部署。適合用於 Laravel 應用的稽核、功能審查與強化作業。

kotlin-ktor-patterns 可協助你使用 routing DSL、plugins、authentication、Koin DI、kotlinx.serialization、WebSockets 與 testApplication 測試來建立或重構 Ktor 後端。這份 kotlin-ktor-patterns 指南適合用來提升 Backend Development 的可維護性，並讓伺服器架構更清楚。

exploiting-jwt-algorithm-confusion-attack 技能可協助 Security Audit 工作流程測試 JWT 演算法混淆，包括 RS256 降級為 HS256、alg:none 繞過，以及 kid/jku/x5u 標頭技巧。它附有實用指南、參考範例與可重複驗證的腳本，方便進行一致化測試。

firebase-apk-scanner 是一個專注於 Android APK 的安全稽核技能，會檢查以 Firebase 為基礎的應用程式是否存在開放資料庫、儲存暴露、薄弱驗證，以及未經驗證的 Cloud Functions。適合在獲授權的 Firebase 安全稽核中使用，當你需要安裝與使用指引，並且希望從 APK 檢視一路走到可驗證的發現結果時特別合用。

azure-identity-ts 能協助 TypeScript 應用程式使用 @azure/identity 對 Azure 服務完成驗證。這個技能適合用來判斷在本機開發、正式環境、CI/CD、受控識別、服務主體、工作負載識別，或瀏覽器登入時，該選哪一種憑證。它特別適合後端開發，以及需要清楚 azure-identity-ts 指引流程的情境。

fastapi-router-py 是一個用於 FastAPI 路由的腳手架，適合建立 CRUD endpoints、auth dependencies、response models 與 HTTP status codes。它能幫助 Backend Development 團隊以模板方式建立一致的 routers，而不是一個個手寫每個 endpoint。當你需要可預期的結構、可重用的模式，以及為新的 REST resources 減少猜測時，就很適合使用它。

azure-keyvault-py 是一個用於 Azure Key Vault 的 Python 技能，適用於 secrets、keys 與 certificates。它能幫助後端開發團隊選對 client、安裝正確套件、設定 Azure 認證與環境變數，並依照實用的 azure-keyvault-py 指南，在執行階段安全存取資源。

azure-identity-py 可協助你在 Python 中使用 Microsoft Entra ID 設定 Azure 驗證。可用來選擇 DefaultAzureCredential、managed identity 或 service principal 驗證，設定環境變數，並排除存取控制與 credential chain 問題。安裝指引、使用模式與實用設定說明皆根據 repo skill file 整理而成。

azure-communication-common-java 是一個用於 Azure Communication Services 共用驗證與識別碼的 Java 技能。適合用在 CommunicationTokenCredential、token 更新，以及搭配 Chat、Calling 或其他 ACS 用戶端進行後端開發。內容包含安裝指引、範例，以及實用的 azure-communication-common-java 使用指南。

azure-identity-dotnet 是適用於 .NET Azure SDK 用戶端的 Microsoft Entra ID 驗證技能。它涵蓋 DefaultAzureCredential、受控識別、服務主體與開發者憑證，並提供後端服務、ASP.NET Core 應用程式與自動化情境中的安裝與使用指引。

oauth 可協助你在 Fastify 應用中實作與排查 OAuth 2.0/2.1，涵蓋登入、存取權杖、PKCE、重新整理權杖與路由保護。當你需要實際可用的 oauth 用法、安裝步驟，以及解決 redirect URI、scope、CSRF 或權杖驗證問題時，可將它作為後端開發指南。

detecting-anomalous-authentication-patterns 可協助分析驗證登入紀錄，找出不可能移動、暴力破解、密碼噴灑、憑證填充，以及帳號遭入侵等可疑活動。它適用於 Security Audit、SOC、IAM 與事件回應工作流程，具備會參考基準的偵測能力與有證據支撐的登入分析。

configuring-oauth2-authorization-flow 技能可協助你為存取控制設計並驗證 OAuth 2.0 授權設定，涵蓋 Authorization Code + PKCE、Client Credentials 與 Device Authorization Grant。可利用這份 configuring-oauth2-authorization-flow 指南來選擇授權類型、設定 redirect URIs、檢視 scopes，並對齊 OAuth 2.1 最佳實務。

configuring-ldap-security-hardening 可協助資安工程師與稽核人員評估 LDAP 風險，包括匿名 bind、弱簽章、缺少 LDAPS，以及 channel binding 的缺口。使用這份 configuring-ldap-security-hardening 指南，先檢視參考文件、執行 Python 稽核輔助工具，並為 Security Audit 產出可落地的修補建議。

building-identity-governance-lifecycle-process 可協助設計身分治理與生命週期管理，涵蓋 joiner-mover-leaver 自動化、存取審查、以角色為基礎的佈建，以及孤兒帳號清理。它適合需要實用工作流程指引、而非通用政策草案的跨系統 Access Control 專案。

security 技能涵蓋 OWASP 模式、機密管理與安全測試。可用來檢視驗證、使用者輸入、API keys、環境變數與 repo 衛生，特別適合 Security Audit 工作。

setup-browser-cookies 可協助代理程式將真實 Chromium 瀏覽器中的 cookies 匯入無頭工作階段。它透過重用既有登入狀態，支援已登入頁面的 QA 與瀏覽器自動化，並提供互動式網域選擇器來控制要匯入哪些 cookies。當你需要的是 setup-browser-cookies 在已登入頁面的使用方式，而不是重新走一遍憑證登入流程時，這個技能最適合。

azure-identity-rust 可協助 Rust 應用程式使用 Microsoft Entra ID 對 Azure SDK 用戶端進行驗證。這個技能涵蓋安裝、使用方式，以及後端開發、在地工作流程、受控識別與服務主體驗證的憑證選擇；同時也能幫助你避開已棄用的 azure_sdk_* 套件，正確使用官方 azure_* 套件。

azure-identity-java 可協助 Java 後端開發者在 Azure SDK 用戶端中使用 Microsoft Entra ID 驗證。內容涵蓋本機開發、CI/CD 與 Azure 託管應用程式該選哪種認證，包含 DefaultAzureCredential、受控識別與服務主體等模式。

entra-agent-id 是一個 Microsoft Entra Agent ID 預覽版技能，適合正在使用 Graph beta 建立具備 OAuth2 能力的 AI agent 身分的後端開發團隊。內容涵蓋 blueprint 設定、blueprint principals、agent identities、permissions、sponsors、workload identity federation，以及以 sidecar 為基礎的驗證。可用來了解 entra-agent-id 的安裝、使用方式與部署限制。