security-guard
Installation
SKILL.md
安全开发指南
通用模板。如果项目有专属技能(如
leniu-security-guard),优先使用。
设计原则
- 纵深防御:不依赖单一安全机制,从传输层、认证层、授权层、数据层多维度防护。
- 最小权限:默认拒绝,显式授权。每个接口必须声明所需权限。
- 输入不可信:所有外部输入(用户参数、请求头、Cookie)必须校验后使用。
- 敏感数据保护:存储加密、传输加密、展示脱敏,三层保护。
- 审计可追溯:关键操作记录日志,包含操作人、操作时间、操作内容。
认证授权方案对比
| 维度 | Spring Security | Apache Shiro | Sa-Token |
|---|---|---|---|
| 学习曲线 | 陡峭 | 中等 | 平缓 |
Related skills