building-api-authentication

Build secure API authentication systems with OAuth2, JWT, API keys, and session management.\nUse when implementing secure authentication flows.\nTrigger with phrases like \

1. Zainstaluj skill w swoim środowisku Claude Code, Codex lub OpenClaw. Upewnij się, że masz dostęp do narzędzi Read, Write, Edit, Grep, Glob i Bash z uprawnieniami api:auth-*.

2. Przygotuj wymagane zależności: bibliotekę kryptograficzną (jsonwebtoken dla Node.js, PyJWT dla Pythona, jjwt dla Javy), bezpieczne przechowywanie sekretów (zmienne środowiskowe, AWS Secrets Manager lub HashiCorp Vault), bazę danych do przechowywania kredencjałów użytkowników i tokenów refresh, oraz narzędzie do haszowania haseł (Bcrypt lub Argon2).

3. Wyzwól skill frazami takimi jak "build authentication", "add API auth" lub "secure the API". Skill przeanalizuje istniejące mechanizmy autentykacji, lokalizację middleware'u i punkty końcowe pomijające autentykację.

4. Zaimplementuj wydawanie tokenów JWT po pomyślnym logowaniu. Podpisz tokeny algorytmem RS256 (asymetryczny) lub HS256 (symetryczny), uwzględniając w payload'u identyfikator użytkownika (sub), czas wydania (iat), czas wygaśnięcia (exp) dla 15-minutowych access tokenów, role i uprawnienia (scopes).

5. Utwórz middleware autentykacji, który wyodrębnia Bearer token z nagłówka Authorization, weryfikuje podpis i czas wygaśnięcia, a następnie wstrzykuje zdekodowany kontekst użytkownika do obiektu żądania.

6. Skonfiguruj rotację refresh tokenów, revokację tokenów, przechowywanie kluczy API w bazie danych oraz kontrolę dostępu opartą na rolach (RBAC) ze scoped permissions dla wszystkich punktów końcowych API.