Authorization

springboot-security 是一份實用的 Spring Boot 安全指南，涵蓋驗證、授權、資料驗證、CSRF/CORS、機密資訊、標頭、速率限制與依賴檢查。當你要進行 Security Audit 工作，或想以較少的安全設定錯誤風險來強化 Java 服務時，可使用 springboot-security 技能。

exploiting-jwt-algorithm-confusion-attack 技能可協助 Security Audit 工作流程測試 JWT 演算法混淆，包括 RS256 降級為 HS256、alg:none 繞過，以及 kid/jku/x5u 標頭技巧。它附有實用指南、參考範例與可重複驗證的腳本，方便進行一致化測試。

exploiting-idor-vulnerabilities 可協助授權的資安稽核針對 API、網頁應用程式與多租戶系統測試不安全直接物件參照（IDOR）漏洞，涵蓋跨會話檢查、物件對應，以及讀取／寫入驗證。

oauth 可協助你在 Fastify 應用中實作與排查 OAuth 2.0/2.1，涵蓋登入、存取權杖、PKCE、重新整理權杖與路由保護。當你需要實際可用的 oauth 用法、安裝步驟，以及解決 redirect URI、scope、CSRF 或權杖驗證問題時，可將它作為後端開發指南。

「exploiting-broken-function-level-authorization」技能可協助資安稽核人員測試 API 是否存在 Broken Function Level Authorization（BFLA）問題。它聚焦於找出具權限的端點、檢查低權限存取，並以實務、可佐證的流程指引驗證方法或路徑繞過。

detecting-api-enumeration-attacks 協助資安稽核團隊透過分析連續 ID、404 暴增、授權失敗與文件探索路徑，偵測 API 探測、BOLA 與 IDOR。它適合用於以日誌為主的偵測指引、規則草擬，以及 API 濫用樣態的實務審視。

configuring-oauth2-authorization-flow 技能可協助你為存取控制設計並驗證 OAuth 2.0 授權設定，涵蓋 Authorization Code + PKCE、Client Credentials 與 Device Authorization Grant。可利用這份 configuring-oauth2-authorization-flow 指南來選擇授權類型、設定 redirect URIs、檢視 scopes，並對齊 OAuth 2.1 最佳實務。

building-role-mining-for-rbac-optimization 是一項資安技能，用於分析使用者權限資料、降低角色爆炸，並透過由下而上與由上而下的角色挖掘，建立更精簡的 RBAC 角色，用於 Access Control。可用來比較候選角色、驗證最小權限成果，並把原始指派整理成可執行的角色規劃。

building-identity-governance-lifecycle-process 可協助設計身分治理與生命週期管理，涵蓋 joiner-mover-leaver 自動化、存取審查、以角色為基礎的佈建，以及孤兒帳號清理。它適合需要實用工作流程指引、而非通用政策草案的跨系統 Access Control 專案。

security 技能涵蓋 OWASP 模式、機密管理與安全測試。可用來檢視驗證、使用者輸入、API keys、環境變數與 repo 衛生，特別適合 Security Audit 工作。