首页龙虾技能列表 › Max Auth — 本地 Node.js 认证服务器(生物识别和密码验证)

Max Auth — 本地 Node.js 认证服务器(生物识别和密码验证)

v2.1.0

Max Auth 是一个本地 Node.js 认证服务器,通过 Tailscale HTTPS 仪表板提供生物识别和密码验证,以保护敏感的 OpenClaw 操作。它支持一键式部署、生物识别认证和密码验证,适用于需要本地安全认证的开发环境。

0· 346·2 当前·2 累计
by @felipematos (Felipe Matos)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/3/7
安全扫描
VirusTotal
无害
查看报告
OpenClaw
可疑
medium confidence
该包基本符合本地认证服务器的特征,但存在几个不匹配和运营风险(缺失声明的要求、文档中可疑的 require() 使用、广泛的 CORS 和 Tailscale 暴露、以及特权安装指令),在安装前应了解这些风险。
评估建议
["安装前考虑:","- 所需软件:该包预计使用 Node.js/npm 和 Tailscale CLI,但注册元数据未声明它们——确保您拥有/允许这两者。","- 特权步骤:设置脚本和文档指示创建 systemd 单元并运行 `tailscale serve`,这需要 sudo 并将持续运行服务器。仅在您想要持久的本地服务时才继续。","- 网络暴露:服务器旨在通过 Tailscale HTTPS 暴露。任何在您的 tailnet 上(或谁获取了该主机名)的人都可以访问您启用的仪表板端点。审查您的 tailnet 是否可信任以及您是否想要这种级别的暴露。","- CORS 和 API 表面:服务器设置 Access-Control-Allow-Origin: '*',允许跨源浏览器请求。如果您通过 Tailscale 暴露服务器,考虑限制 CORS 或以其他方式限制访问。","- 秘密处理:主密码、通关证、会话令牌和审计日志存储在 ~/.max-auth 下。文件在代码中使用限制性文件模式,这很好,但您应该审查读取/写入这些文件的代码路径,以确认没有意外的数据外泄。","- 文档不匹...
详细分析 ▾
用途与能力
该技能声称是一个通过 Tailscale 暴露的本地 Node.js 认证服务器,与提供的 auth-server.js 和设置脚本相符。然而,注册元数据列出了没有所需的二进制文件或环境变量,尽管运行时和安装指令明确需要 Node.js/npm 和 Tailscale CLI(以及用于 systemd 和 tailscale serve 的 root/sudo)。声明的要求的缺失是一个您应该关心的不一致性。
指令范围
SKILL.md 和引用指令指示代理/用户复制文件、运行 npm install(网络获取)、运行 node auth-server.js、创建 systemd 服务并运行 tailscale serve。集成文档包括一个片段 `require('/home/ubuntu/.max-auth/auth-server.js')`,这与 auth-server.js 是一个独立脚本(没有明显的导出模块)不一致——该 require() 很可能是错误的,并可能误导集成者。服务器设置 CORS 为 '*',如果您启用 Tailscale 服务,将暴露在您的 tailnet 上;这些指令将网络暴露扩展到 localhost 之外。
安装机制
注册表中没有正式的安装规范;安装是手动的(复制文件,npm install)。npm install 将从公共注册表拉取 @simplewebauthn/server —— 一个正常但未经审查的网络获取。没有来自任意 URL 或存档提取的下载。设置脚本在 /etc/systemd/system 下写入一个 systemd 单元,这需要 sudo 并持续运行服务器。
凭证需求
该包声明没有所需的环境变量,但代码通过 `tailscale status --json`(通过 child_process.execSync)派生 RP_ID/RP_ORIGIN 并允许通过 RP_ID/RP_ORIGIN 环境变量覆盖。它还预计通过 Tailscale 服务(需要 Tailscale CLI)。该技能将读取和写入 ~/.max-auth 下的文件(密码、通关证、会话、审计日志)——对于认证服务器来说是合理的,但您应该确认您信任处理这些秘密的代码。CORS '*' 和 Tailscale 暴露增加了可以与服务器交互的主体数量(任何来源的跨源浏览器请求,如果您启用服务,则是您 tailnet 上的任何人)。
持久化与权限
提供的设置脚本创建一个 systemd 服务(持久,作为您的用户运行)并指示运行 `sudo tailscale serve` 以暴露 HTTPS。这对于持久的本地认证服务是预期的,但需要提升特权来启用,并将跨重启持久。技能元数据不请求 'always: true',因此不自动授予持久的代理级特权 —— 持久性是通过您将手动运行的安装指令实现的。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv2.1.02026/3/6

添加 request_secret + retrieve_secret 工具用于安全一次性 URL 秘密提交(v2.1.0)。

● 无害

安装命令 点击复制

官方npx clawhub@latest install max-auth
镜像加速npx clawhub@latest install max-auth --registry https://cn.clawhub-mirror.com

技能文档

由于原始内容中未提供 SKILL.md 文档内容,此处无法翻译。若提供完整文档,可按要求翻译(保留 YAML frontmatter、代码块、命令行指令和 Markdown 格式不变)。

数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务