身份验证

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

django-security 是一份面向 Django 应用加固的实用指南，涵盖认证、授权、CSRF、XSS、SQL 注入防护、安全 Cookie 和生产环境设置。它帮助开发者和审查者开展聚焦的 Security Audit，快速识别高风险配置，并在部署前落实具体修复。

auth-implementation-patterns 是一项偏实战的技能，用于设计与实现认证和授权模式，涵盖 sessions、JWT、OAuth2/OIDC、RBAC，以及面向 API 和应用的访问控制校验。

security-and-hardening 技能用于在发布前加固应用代码。适用于用户输入、认证、会话、敏感数据、文件上传、webhook 和外部服务等场景，涵盖输入校验、参数化查询、输出编码、安全 Cookie、HTTPS 以及 secrets 处理等具体检查项。

sharp-edges 技能帮助你找出那些“走最省事的路反而更不安全”的 API、配置和接口。可用来审查认证流程、加密封装、危险默认值、null 或 zero 语义，以及容易被误用的设计选择。它非常适合用于 Security Audit 场景下的 sharp-edges 工作，当你需要的是具体的误用陷阱，而不是泛泛的安全猜测时。

insecure-defaults 技能可帮助识别 fail-open 配置模式——也就是软件在不安全设置下继续运行，而不是直接停止。适用于对生产代码、部署配置和密钥处理逻辑进行安全审计，帮助发现弱认证、硬编码密钥和过于宽松的默认配置。

azure-identity-py 帮助你在 Python 中使用 Microsoft Entra ID 配置 Azure 身份验证。它适合用于选择 DefaultAzureCredential、managed identity 或 service principal 认证，配置环境变量，并排查访问控制和凭据链问题。安装说明、使用模式和实用的配置提示均基于 repo skill file。

这是面向 Firestore、Auth、Storage、Functions、Hosting 和安全规则的 firebase 技能指南。了解 firebase 的实用用法，支持构建和维护实时应用，并提供环境搭建建议、优先使用模拟器的工作流，以及面向 Database Engineering 的 firebase 使用指引。

面向 Better Auth 的 two-factor-authentication-best-practices：安装 twoFactor 插件，添加客户端重定向，运行迁移并验证 schema，实施 TOTP、backup codes、trusted devices 与 2FA sign-in flow，以满足 Access Control 场景需求。

better-auth-best-practices 帮助开发者正确安装和使用 Better Auth，涵盖必要的 env vars、`auth.ts` 放置位置、CLI migrate 或 generate 步骤、插件更新后的处理，以及通过 `/api/auth/ok` 进行验证。

create-auth-skill 通过“先规划、后实施”的流程，帮助在 JS 或 TS 应用中接入 Better Auth。它会扫描你的仓库，识别框架和数据库相关信号，提出结构化配置问题，然后引导完成路由接入、providers、认证页面，以及更适合迁移场景的安全实现。

email-and-password-best-practices 可帮助你配置 Better Auth 的邮箱/密码登录、验证邮件、密码重置流程、密码规则、哈希选项，以及必需的迁移步骤。

organization-best-practices 是一份面向 Better Auth organization 配置的访问控制指南，涵盖服务端与客户端插件、迁移、数据库检查、组织创建、邀请、角色以及以 RBAC 为核心的使用方式。

neon-postgres 技能可帮助代理在回答 Neon Serverless Postgres 相关问题时减少猜测。你可以了解安装背景、常见使用模式、连接方式选择、本地开发、branching、auth、Data API、Neon CLI，以及在执行操作前如何先核验最新的 Neon 官方文档。

detecting-anomalous-authentication-patterns 可帮助分析认证日志，识别不可能旅行、暴力破解、密码喷洒、凭证填充以及账户被盗活动。它面向 Security Audit、SOC、IAM 和 incident response 工作流，提供基于基线的检测与有证据支撑的登录分析。

supabase-nextjs 可帮助你用 Supabase 的 auth、storage 和 realtime 构建 Next.js App Router 应用，同时使用 Drizzle ORM 做类型化数据库查询。它适合需要受保护路由、服务端会话处理，以及清晰区分 server/client 的后端开发流程。

supabase-node 是一份使用 Supabase Auth、storage 和 Drizzle ORM 构建 Node.js 后端的指南。它帮助团队结合 Express 或 Hono，在后端开发中清晰划分路由、中间件和查询边界。

supabase 技能可帮助你以 local-first 工作流管理基于 Supabase 的应用，涵盖数据库变更、auth、存储、Edge Functions、migrations 和 RLS。當你需要的是实用的 supabase 用法、安装指引和可重复的部署步骤，而不是临时性的生产环境手工修改时，可以使用这份 supabase 指南。

azure-identity-java 可帮助 Java 后端开发者在 Azure SDK 客户端中使用 Microsoft Entra ID 身份验证。它会介绍适用于本地开发、CI/CD 和 Azure 托管应用的正确凭据，包括 DefaultAzureCredential、managed identity 和 service principal 等模式。

entra-agent-id 是面向后端开发团队的 Microsoft Entra Agent ID 预览版技能，帮助你使用 Graph beta 构建支持 OAuth2 的 AI agent 身份。内容涵盖 blueprint 搭建、BlueprintPrincipal、agent identities、权限、sponsor、workload identity federation 以及基于 sidecar 的认证。可用于了解 entra-agent-id 的安装、使用方式和上线约束。