Authorization

springboot-security 是一份实用的 Spring Boot 安全指南，覆盖认证、授权、校验、CSRF/CORS、密钥、请求头、限流和依赖检查。适合用于 Security Audit 工作，或在减少安全配置错误风险的前提下加固 Java 服务。

exploiting-jwt-algorithm-confusion-attack 技能可帮助安全审计流程测试 JWT 算法混淆，包括 RS256 到 HS256 的降级、alg:none 绕过，以及 kid/jku/x5u 头部技巧。它提供实用指南、参考示例和可重复验证的脚本，便于稳定复现测试结果。

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

oauth 可帮助你在 Fastify 应用中实现和排查 OAuth 2.0/2.1，用于登录、access token、PKCE、refresh token 和路由保护。当你需要实用的 oauth 用法、安装步骤，以及处理 redirect URI、scope、CSRF 或 token 验证问题时，它可作为后端开发的 oauth 指南。

exploiting-broken-function-level-authorization 技能可帮助安全审计人员测试 API 是否存在 Broken Function Level Authorization（BFLA，功能级授权缺陷）。它聚焦于发现特权端点、检查低权限访问，以及通过实用、基于证据的工作流指引验证方法或路径绕过。

detecting-api-enumeration-attacks 可帮助安全审计团队通过分析顺序 ID、404 激增、授权失败和文档发现路径，检测 API 探测、BOLA 和 IDOR。它面向基于日志的检测指导、规则草拟以及 API 滥用模式的实操审查。

configuring-oauth2-authorization-flow 技能可帮助你为 Access Control 设计并验证 OAuth 2.0 授权配置，涵盖 Authorization Code + PKCE、Client Credentials 和 Device Authorization Grant。使用这份 configuring-oauth2-authorization-flow 指南来选择授权模式、设置 redirect URI、审查 scopes，并对齐 OAuth 2.1 最佳实践。

building-role-mining-for-rbac-optimization 是一项网络安全技能，用于分析用户权限数据、减少角色爆炸，并通过自下而上和自上而下的角色挖掘为访问控制构建更清晰的 RBAC 角色。可用于比较候选角色、验证最小权限效果，并将原始分配转化为可执行的角色方案。

building-identity-governance-lifecycle-process 可用于设计身份治理与生命周期管理方案，覆盖 joiner-mover-leaver 自动化、访问审查、基于角色的权限配置，以及孤儿账号清理。它适合需要实用工作流指导、而不是通用策略草案的跨系统 Access Control 项目。

面向 OWASP 模式、secret 管理和安全测试的 security 技能。用于审查 auth、用户输入、API keys、环境变量和仓库卫生，尤其适合 Security Audit 相关工作。