Bonnes Pratiques de Sécurité des API

Guide complet et extraits pratiques pour concevoir et sécuriser des API : authentification, validation des entrées, limitation du débit, protection des données et modèles de test.

déclencheurs:api securityjwtrate limitingvalidate inputowasppenetration testingtoken refresh

GitHub SKILL.md

Ce qu'il fait

Ce skill dote les agents de conseils prescriptifs en matière de sécurité des API et de modèles de code prêts à l'emploi pour construire et auditer des API sécurisées. Il couvre l'authentification (JWT/OAuth), la validation des entrées, la limitation du débit (rate limiting), la gestion sécurisée des erreurs et l'atténuation des attaques DDoS, avec des exemples de code pour Node/Express et des recommandations pour des déploiements de niveau production.

Quand l'utiliser

À utiliser lors de la conception d'API, des revues de sécurité, des audits ou lors de l'application de correctifs pour des vulnérabilités (injection, authentification défaillante, mauvaise gestion des erreurs). Utile également pour ajouter des limites de débit, des flux de renouvellement de jetons et des pratiques de journalisation sûres.

Ce qui est inclus

Scripts : aucun script intégré, mais le skill contient de nombreux exemples de code copiables et des listes de contrôle
Références : ressources OWASP liées et pointeurs vers les meilleures pratiques JWT au sein du document
Instructions : modèles étape par étape pour les flux d'authentification, les requêtes paramétrées, les middleware de validation, la limitation du débit avec Redis et des conseils sur les en-têtes de réponse

Agents compatibles

Idéal pour les assistants familiers avec le code et les développeurs travaillant avec Node/Express, Prisma ou d'autres backends JS ; applicable aux auditeurs utilisant des outils d'analyse statique et aux agents axés sur la sécurité (Codex/Claude Code/Copilot).

Étiquettes

#security #api #authentication #rate-limiting #input-validation #owasp #backend #nodejs #jwt

Pas encore audité

Cette compétence n'a pas encore été examinée par notre pipeline d'audit automatisé.

Informations

Dépôt: marketplace
Étoiles: 343
Installations: 0

Plus de marketplace

Minimal Run & Audit (repro reporting)

Exécute un test de fumée basé sur le README et produit des sorties de reproductibilité standardisées (`repro_outputs/`) et PATCHES.md — reporting fiable pour la reproduction de dépôt r

Humaniser le texte IA

Réécrire du texte généré par IA en une prose plus naturelle et humaine via l'API HumanizerAI, avec scores avant/après et suivi des crédits.

WP-Migrate — Compétence de Migration WordPress

Guide la migration et le déploiement de sites WordPress via wp-migrate.sh : migrations par push/archive, rollback, dry-runs et flux adaptés à l'automatisation pour le CI/CD.

SOP : Flux de travail de revue de code

SOP structurée de 4 heures pour une revue de code complète : vérifications automatisées, revues parallèles spécialisées (qualité, sécurité, perf, architecture, docs), intégration a

Obsidian CLI

Contrôlez et automatisez un coffre Obsidian depuis la ligne de commande : lire, créer, rechercher, mettre à jour des notes et gérer les flux de travail de développement.

MatchMS — Utilitaires de Spectrométrie de Masse

Importe, traite et compare des spectres de spectrométrie de masse (mzML/MGF/MSP) avec des filtres, des métriques de similarité et des pipelines reproductibles pour les flux de travail métabolomiques.

Gestion des marque-pages Raindrop.io

Enregistrer, organiser, rechercher et gérer les marque-pages et les listes de lecture Raindrop.io via le langage naturel et les outils MCP.

Configuration de tmux — barres de statut, plugins et widgets

Guide l'installation et le dépannage des barres de statut tmux, des frameworks (oh-my-tmux/Catppuccin/tmux-powerline), de l'installation de plugins et des scripts de widgets (météo, finance).

Générateur de Prompts Motion Graphics Seedance 2.0

Générez des prompts de motion-graphics de 15s pour Seedance 2.0 (4 styles esthétiques), avec des espaces réservés pour images de référence et intégration optionnelle Dreamina CLI.

Colorize

Ajoutez une couleur stratégique et accessible aux interfaces monochromatiques pour améliorer la hiérarchie, la signification et l'engagement visuel sans sacrifier l'accessibilité.

Compétences similaires

TradeOS

Natural-language driven CEX trading and portfolio management for agents: API key vaulting, multi-exchange orders, DCA, arbitrage scanning, alerts and security r

ezBookkeeping API Tools

Command-line API tools for ezBookkeeping: record and query transactions, retrieve accounts/categories/tags, and fetch exchange rates for self-hosted personal fi

Java 25 & Spring Boot 4 Code Reviewer

Run focused, evidence-based code reviews for Java 25 and Spring Boot 4 projects — migration risks, architecture boundaries, null-safety (JSpecify), security, an

ArcKit — French Public Procurement (fr-marche-public)

Generates French public procurement (Dossier de Consultation des Entreprises) drafts aligned with the Code de la Commande Publique, UGAP frameworks, and DINUM d

Speak Security Basics

Security best practices for integrating Speak: API key management, audio data privacy, student data protection, and COPPA/FERPA compliance for production deploy

RemoFirst — Core Workflow A

Onboarding workflow for RemoFirst: create employee records, upload compliance documents, and track country-specific onboarding status.

Juicebox Common Errors

Identify and remediate common Juicebox API errors (authentication, quotas, rate limits, invalid queries) with quick diagnostics and fixes.

Juicebox Performance Tuning

Guidance and code patterns to reduce Juicebox AI analysis latency: caching, batching, upload chunking, and pagination to improve throughput and responsiveness.