Skill

auth

From claude-code-harness-zh

实现认证与支付功能，支持 Clerk、Supabase Auth 和 Stripe。用户提到登录、认证、支付、订阅或 Stripe 时使用。不要用于：通用 UI 工作、数据库设计或非认证类功能。

Invocation

How this skill is triggered — by the user, by Claude, or both

Slash command

/claude-code-harness-zh:auth

User invocable

Model invocable

Inline context

Default effort

Tool Access

This skill is limited to the following tools:

ReadWriteEditBash

Context Preview

The summary Claude sees in its skill listing — used to decide when to auto-load this skill

这是一个负责实现认证与支付功能的技能集合。

Supporting Files

references/authentication.mdreferences/payments.md

SKILL.md

85 lines · ~445 tokens

Stats

LanguageShell

Stars0

MaintenanceExcellent

Last CommitApr 8, 2026

Actions

View Source View Plugin View on GitHub View README

Stats

Actions

Auth Skills

这是一个负责实现认证与支付功能的技能集合。

功能详情

功能	详情
认证功能	See references/authentication.md
支付功能	See references/payments.md

执行步骤

质量判定门（Step 0）
将用户请求分类（认证 or 支付）
从上面的“功能详情”里读取对应 reference
按照 reference 内容实现

Step 0: 质量判定门（安全检查清单）

认证和支付功能始终属于高安全风险项，因此开始工作前必须先展示以下内容：

🔐 安全检查清单

这项工作在安全上非常重要，请确认以下内容：

### 认证相关
- [ ] 密码已哈希化（bcrypt/argon2）
- [ ] 会话管理是否安全（HTTPOnly Cookie）
- [ ] 是否实现了 CSRF 防护
- [ ] 是否有限速（防暴力破解）

### 支付相关
- [ ] 不在服务器保存敏感信息（卡号等）
- [ ] 正确使用 Stripe / 支付服务商 SDK
- [ ] 校验 Webhook 签名
- [ ] 防止金额被篡改（由服务端确定金额）

### 通用
- [ ] 错误信息是否过于详细（避免泄露信息）
- [ ] 日志中是否输出了敏感信息

安全严重度提示

⚠️ 风险等级: 🔴 高

这个功能存在以下风险：
- 认证信息泄露
- 未授权访问
- 支付被恶意操作

建议由熟悉安全的人员进行评审。

给 VibeCoder 的说明

🔐 为了安全地实现登录和支付功能

1. **密码必须做“哈希化”**
   - 以不可逆方式保存原始密码
   - 即使数据泄露也更安全

2. **不要把卡片信息保存在服务器里**
   - 交给 Stripe 这类专门服务处理
   - 自己的服务器不要保存任何卡信息

3. **错误信息要保持模糊**
   - 不要说“密码错了”，而应说“认证失败”
   - 不要给恶意用户额外提示

auth

Invocation

Tool Access

Context Preview

Supporting Files

SKILL.md

auth

Invocation

Tool Access

Context Preview

Supporting Files

SKILL.md

Auth Skills

功能详情

执行步骤

Step 0: 质量判定门（安全检查清单）

安全严重度提示

给 VibeCoder 的说明

Similar Skills

Auth Skills

功能详情

执行步骤

Step 0: 质量判定门（安全检查清单）

安全严重度提示

给 VibeCoder 的说明

Similar Skills