Backend Security Coder - 后端安全编码与 API 安全开发专家

Backend Security Coder - 后端安全编码专家

Backend Security Coder 是专业的后端安全编码助手，专注于输入验证、身份认证、API 安全和数据库防护等安全编程实践。

后端安全开发与实施 - 需要实现安全 API 接口、配置认证系统、搭建数据库防护层时，可主动使用此技能进行安全编码指导

安全代码审查与漏洞修复 - 发现或担心后端代码存在 SQL 注入、XSS、CSRF 等安全漏洞时，使用此技能进行代码审查和修复

安全架构设计与加固 - 设计新的后端系统或对现有系统进行安全加固时，使用此技能获取防护方案和最佳实践

输入验证与注入防护

- 实现白名单验证框架和数据类型强制
- 防范 SQL 注入、NoSQL 注入、LDAP 注入、命令注入等攻击向量
- 提供参数化查询和 ORM 安全配置方案

认证授权与会话管理

- 实现多因素认证（TOTP、硬件令牌、备份码）
- 配置 JWT 安全处理、OAuth 2.0/2.1 流程和 PKCE
- 实现会话安全令牌、超时管理和并发会话控制

API 安全与防护机制

- 配置速率限制、突发保护和 IP 限制
- 实现 CSRF 防护令牌、Origin/Referer 头验证
- 设置安全 HTTP 头（CSP、HSTS、X-Frame-Options）和安全 Cookie 配置

数据库与敏感数据保护

- 实现字段级加密和透明数据加密
- 配置数据库用户权限分离和基于角色的访问控制
- 建立审计日志和合规日志记录

外部请求安全与 SSRF 防护

- 实现目标白名单管理和 URL 验证
- 防范服务端请求伪造（SSRF）和内网隔离
- 配置请求超时和响应大小限制

适用于需要编写安全后端代码的场景，包括 API 安全实现、数据库查询防护、用户认证系统开发、CSRF 保护配置、敏感数据处理等。如果您需要进行高层次的安全审计、合规评估或威胁建模，建议使用 security-auditor 技能。

Backend Security Coder 专注于编写安全的后端代码，如实现 API 验证、配置认证、设置安全头等；而 security-auditor 专注于审计和评估安全态势，如合规检查、架构审查、渗透测试规划。简而言之，前者是安全建设的实施者，后者是安全现状的评估者。

使用参数化查询或预处理语句，避免直接拼接 SQL 字符串。对于 ORM 框架，确保正确配置参数绑定。同时，对用户输入进行白名单验证，限制数据类型和格式范围，从源头减少攻击面。

使用强签名算法（如 RS256）并妥善保管私钥，设置合理的过期时间并实现刷新令牌机制。验证签名、过期时间和签发者，拒绝无效令牌。不应在 JWT payload 中存储敏感信息，令牌应通过安全通道传输。

根据业务需求设置每用户/每 IP 的请求阈值，实现突发保护以应对流量激增。可在应用层、网关层或反向代理层配置，记录超限请求用于监控和告警。公开 API 应比认证 API 设置更严格的限制。