SkillProgramaçãoRevisão
Analisador de Integração de Tokens
Audita como um sistema integra tokens (tokens de autenticação, API keys, tokens on-chain) ao longo de emissão, validação, rotação, revogação e escopo. Use ao revisar o tratamento de tokens em um fluxo de autenticação.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Verificar se a integração de tokens de um sistema é sólida em todas as dimensões: emissão, validação, rotação, revogação, escopo e armazenamento. O foco é encontrar falhas de segurança no ciclo de vida dos tokens antes que virem incidentes.
Aplicação
Quando
faz sentido.
Usar
- Novo sistema de autenticação
- Adição de API keys ou tokens de serviço
- Auditoria de um fluxo de autenticação existente
- Revisão de compliance
Não usar
- Autenticação apenas por senha, sem tokens
- Economia profunda de tokens em blockchain — use ferramenta específica de blockchain
Prompt
Instruções
para a IA.
A skill revisa cada dimensão do ciclo de vida do token em busca de vulnerabilidades e produz um relatório com remediações.
### Emissão e validação
Na emissão, prefira algoritmos assinados (ES256/RS256) a segredo compartilhado (HS256) e nunca
### Rotação, revogação e escopo
Rotacione chaves de assinatura periodicamente (90 dias) com JWKS servindo chave atual e anterior. Access tokens curtos dispensam revogação explícita; refresh tokens precisam de lista de revogação e rotação a cada uso, com revogação da família inteira ao detectar replay. Aplique menor privilégio nos escopos e checagem de autorização por escopo.
### Armazenamento e replay
No cliente, use cookies HttpOnly + Secure + SameSite; no servidor, armazene hasheado; nunca registre tokens em logs. Use nonce/jti para tokens de uso único.
O resultado é um relatório por dimensão, inventário de achados e remediação para cada um.
### Emissão e validação
Na emissão, prefira algoritmos assinados (ES256/RS256) a segredo compartilhado (HS256) e nunca
none; mantenha claims mínimos, expiração curta para access tokens (15 min a 1 hora) e aud/iss explícitos. Na validação, sempre verifique a assinatura com a chave correta, rejeite tokens expirados (com tolerância de clock skew), confira audiência e issuer e faça pinning do algoritmo no servidor para barrar o ataque alg: none.### Rotação, revogação e escopo
Rotacione chaves de assinatura periodicamente (90 dias) com JWKS servindo chave atual e anterior. Access tokens curtos dispensam revogação explícita; refresh tokens precisam de lista de revogação e rotação a cada uso, com revogação da família inteira ao detectar replay. Aplique menor privilégio nos escopos e checagem de autorização por escopo.
### Armazenamento e replay
No cliente, use cookies HttpOnly + Secure + SameSite; no servidor, armazene hasheado; nunca registre tokens em logs. Use nonce/jti para tokens de uso único.
O resultado é um relatório por dimensão, inventário de achados e remediação para cada um.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).