Jwt

springboot-security 是一份实用的 Spring Boot 安全指南，覆盖认证、授权、校验、CSRF/CORS、密钥、请求头、限流和依赖检查。适合用于 Security Audit 工作，或在减少安全配置错误风险的前提下加固 Java 服务。

auth-implementation-patterns 是一项偏实战的技能，用于设计与实现认证和授权模式，涵盖 sessions、JWT、OAuth2/OIDC、RBAC，以及面向 API 和应用的访问控制校验。

exploiting-jwt-algorithm-confusion-attack 技能可帮助安全审计流程测试 JWT 算法混淆，包括 RS256 到 HS256 的降级、alg:none 绕过，以及 kid/jku/x5u 头部技巧。它提供实用指南、参考示例和可重复验证的脚本，便于稳定复现测试结果。

create-auth-skill 通过“先规划、后实施”的流程，帮助在 JS 或 TS 应用中接入 Better Auth。它会扫描你的仓库，识别框架和数据库相关信号，提出结构化配置问题，然后引导完成路由接入、providers、认证页面，以及更适合迁移场景的安全实现。

oauth 可帮助你在 Fastify 应用中实现和排查 OAuth 2.0/2.1，用于登录、access token、PKCE、refresh token 和路由保护。当你需要实用的 oauth 用法、安装步骤，以及处理 redirect URI、scope、CSRF 或 token 验证问题时，它可作为后端开发的 oauth 指南。

面向 OWASP 模式、secret 管理和安全测试的 security 技能。用于审查 auth、用户输入、API keys、环境变量和仓库卫生，尤其适合 Security Audit 相关工作。