Auth — 安全认证系统

Name: Auth — 安全认证系统
Rating: 1 (3 reviews)
Author: ivangdavila

ivangdavila

🔐 Auth — 安全认证系统

v1.3.0

构建安全的认证系统，支持会话、JWT、OAuth、密码无需、MFA 和 SSO，适用于 Web 和移动应用。

3· 1,100·0 当前·0 累计

by @ivangdavila·MIT-0

安全浏览器自动化系统工具文件处理

下载技能包

License

MIT-0

最后更新

2026/2/19

安全扫描

VirusTotal

无害

查看报告

OpenClaw

安全

high confidence

此技能仅为文档参考，用于实现认证模式，不请求凭据或安装代码。

评估建议

此技能为文档/参考技能，安装安全。重要注意事项：不要在聊天中粘贴真实秘密；代码片段仅为模板，需审查后再使用。技能本身不请求凭据或执行代码，但实现的代码将在您的环境中运行，必须确保安全。...

详细分析 ▾

✓ 用途与能力

名称/描述（认证模式：会话、JWT、OAuth、MFA、SSO）与内容匹配：大量示例代码和设计指南。技能元数据未请求意外二进制文件、环境变量或秘密。

✓ 指令范围

SKILL.md 和辅助文件明确指出示例仅为参考，不执行，并且代理不应访问凭据、进行网络调用或读取环境变量。示例显示网络调用和环境变量占位符，这是开发者参考的预期行为，不指示隐藏的运行时操作。

✓ 安装机制

无安装规格，无在主机上写入/执行的代码文件。最低风险形式（仅指令）。

✓ 凭证需求

技能未声明任何必需的环境变量或凭据。示例片段引用占位符（如 process.env.JWT_SECRET），但这些在文档中标记为开发者端占位符，不由技能本身请求。

✓ 持久化与权限

技能不总是启用，不请求持久权限或修改其他技能/配置。允许模型调用（平台默认），但技能没有能够执行的自主敏感工件。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

🖥️ OSLinux · macOS · Windows

版本

latestv1.3.02026/2/19

● 无害

安装命令点击复制

官方npx clawhub@latest install auth

镜像加速npx clawhub@latest install auth --registry https://cn.clawhub-mirror.com

技能文档

文档仅技能

此技能为 参考指南，包含示例代码，展示认证模式。 重要： 本技能的代码示例：

为开发者适配的模板
显示占位值（SECRET、API_KEY 等）
仅为示例引用外部服务
不由代理执行

代理提供指导，开发者在自己的项目中实现。

使用场景

用户需要认证实现指导。代理解释登录流、令牌策略、密码安全、OAuth 集成和会话管理。

快速参考

主题	文件
会话 vs JWT 策略	`strategies.md`
密码处理	`passwords.md`
MFA 实现	`mfa.md`
OAuth 和社交登录	`oauth.md`
框架中间件	`middleware.md`

## 范围此技能仅：

解释认证概念
显示代码模式作为示例
提供最佳实践指南

此技能永不：

执行代码
进行网络请求
访问凭据
存储数据
读取环境变量

代码示例说明

辅助文件中的代码示例显示：

环境变量如 process.env.JWT_SECRET — 占位符
对 OAuth 提供商的 API 调用 — 参考模式
秘密如 SECRET、REFRESH_SECRET — 示例名称

代理无法访问这些值。它们展示了开发者应在自己的项目中配置的内容。

核心规则

1. 认证 vs 授权

认证： 谁是你（此技能）
授权： 你可以做什么（不同关注点）
认证发生在首先，然后授权检查权限

2. 选择正确的策略

用例	策略	为何
传统 Web 应用	会话 + cookies	简单，立即吊销
移动应用	JWT（短期）+ 刷新令牌	无 cookies，离线支持
API/微服务	JWT	无状态，可扩展
企业	SSO（SAML/OIDC）	中央身份管理
消费者	社交登录 + 邮件回退	减少摩擦

### 3. 永远不要自行实现加密

使用 bcrypt（成本 12）或 Argon2id 对密码进行哈希处理
使用经过验证的库处理 JWT、OAuth
永远不要 手动实现密码哈希、令牌签名
永远不要 存储明文或可逆加密密码

4. 深度防御

``

Rate 限制 -> CAPTCHA -> 账户锁定 -> MFA -> 审计日志### 5. 默认安全
httpOnly + Secure + SameSite=Lax 对 cookies
短令牌生命周期（15 分钟访问，7 天刷新）
登录时重新生成会话 ID
对敏感操作要求重新认证
6. 安全失败
javascript
// 不良做法 - 泄露电子邮件是否存在
if (!user) return { error: 'User not found' };
// 良好做法 - 同一错误消息
if (!user || !validPassword) {
  return { error: 'Invalid credentials' };
}

`


7. 日志一切（除秘密）
日志 不日志
登录成功/失败 密码
IP、用户代理、时间戳 令牌
MFA 事件 会话 IDs
密码更改 恢复代码## 常见陷阱
使用 MD5/SHA1 存储密码 — 使用 bcrypt 或 Argon2id
JWT 长期有效（30 天） — 使用短期访问 + 刷新令牌
泄露电子邮件是否存在 — 使用通用错误消息
硬账户锁定 — 可能导致服务拒绝
使用 SMS 进行 MFA — 容易受到 SIM 换位攻击
登录无速率限制 — 可能导致暴力破解
反馈

如果有用： clawhub star auth

保持更新： clawhub sync`

Documentation-Only Skill

This skill is a reference guide. It contains code examples that demonstrate authentication patterns.

Important: The code examples in this skill:

Are templates for developers to adapt
Show placeholder values (SECRET, API_KEY, etc.)
Reference external services as examples only
Are NOT executed by the agent

The agent provides guidance. The developer implements in their own project.

When to Use

User needs guidance on implementing authentication. Agent explains patterns for login flows, token strategies, password security, OAuth integration, and session management.

Quick Reference

Topic	File
Session vs JWT strategies	`strategies.md`
Password handling	`passwords.md`
MFA implementation	`mfa.md`
OAuth and social login	`oauth.md`
Framework middleware	`middleware.md`

Scope

This skill ONLY:

Explains authentication concepts
Shows code patterns as examples
Provides best practice guidance

This skill NEVER:

Executes code
Makes network requests
Accesses credentials
Stores data
Reads environment variables

Note on Code Examples

Code examples in auxiliary files show:

Environment variables like process.env.JWT_SECRET - these are placeholders
API calls to OAuth providers - these are reference patterns
Secrets like SECRET, REFRESH_SECRET - these are example names

The agent does not have access to these values. They demonstrate what the developer should configure in their own project.

Core Rules

1. Auth vs Authorization

Authentication: Who you are (this skill)
Authorization: What you can do (different concern)
Auth happens FIRST, then authorization checks permissions

2. Choose the Right Strategy

Use Case	Strategy	Why
Traditional web app	Sessions + cookies	Simple, instant revocation
Mobile app	JWT (short-lived) + refresh token	No cookies, offline support
API/microservices	JWT	Stateless, scalable
Enterprise	SSO (SAML/OIDC)	Central identity management
Consumer	Social login + email fallback	Reduced friction

3. Never Roll Your Own Crypto

Use bcrypt (cost 12) or Argon2id for passwords
Use battle-tested libraries for JWT, OAuth
Never implement password hashing, token signing manually
Never store plaintext or reversibly encrypted passwords

4. Defense in Depth

Rate limiting -> CAPTCHA -> Account lockout -> MFA -> Audit logging

5. Secure by Default

httpOnly + Secure + SameSite=Lax for cookies
Short token lifetimes (15min access, 7d refresh)
Regenerate session ID on login
Require re-auth for sensitive operations

6. Fail Securely

// Bad - reveals if email exists
if (!user) return { error: 'User not found' };// Good - same error for both cases
if (!user || !validPassword) {
  return { error: 'Invalid credentials' };
}

7. Log Everything (Except Secrets)

Log	Do Not Log
Login success/failure	Passwords
IP, user agent, timestamp	Tokens
MFA events	Session IDs
Password changes	Recovery codes

Common Traps

Storing passwords with MD5/SHA1 - use bcrypt or Argon2id
JWT with long expiry (30d) - use short access + refresh token
Revealing if email exists - use generic error message
Hard account lockout - enables denial of service
SMS for MFA - vulnerable to SIM swapping
No rate limiting on login - enables brute force

Feedback

If useful: clawhub star auth
Stay updated: clawhub sync

数据来源：ClawHub ↗ · 中文优化：龙虾技能库

OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险，如需更匹配、更安全的方案，建议联系付费定制

了解定制服务

日志	不日志
登录成功/失败	密码
IP、用户代理、时间戳	令牌
MFA 事件	会话 IDs
密码更改	恢复代码

License

运行时依赖

版本

安装命令 点击复制

技能文档

文档仅技能

使用场景

快速参考

代码示例说明

核心规则

1. 认证 vs 授权

2. 选择正确的策略

4. 深度防御

6. 安全失败

7. 日志一切（除秘密）

反馈

Documentation-Only Skill

When to Use

Quick Reference

Scope

Note on Code Examples

Core Rules

1. Auth vs Authorization

2. Choose the Right Strategy

3. Never Roll Your Own Crypto

4. Defense in Depth

5. Secure by Default

6. Fail Securely

7. Log Everything (Except Secrets)

Common Traps

Feedback

安装命令点击复制