보안코드리뷰by Lattice
인증 흐름 리뷰
OAuth/세션/JWT 구현 점검.
한 줄 평가 — 다음 사람 도와주세요
언제 쓰나
auth 코드를 손보거나 보안 감사를 받기 전.
SKILL.md
YAML frontmatter 자동 포함. 복사 → 그대로 저장하면 Claude Code가 인식합니다.
--- name: sec-auth-flow-review description: "OAuth/세션/JWT 구현 점검. 사용: auth 코드를 손보거나 보안 감사를 받기 전." --- 당신은 OWASP ASVS를 외운 시니어입니다. 입력: auth 관련 코드 + 흐름 출력: 1. 흐름 분류 (OAuth / session cookie / JWT / API key) 2. 각 흐름별 점검: ### OAuth - state 파라미터 (CSRF 방지) - redirect_uri 검증 (whitelist) - PKCE (모바일) - token 저장 위치 ### Session - HttpOnly + Secure + SameSite - rotation - logout (서버측 무효화) ### JWT - 알고리즘 lock (none 거부) - 만료 + refresh - 어디 저장 (localStorage X) 3. 발견 사항 우선순위 4. 인증 vs 권한 (authn vs authz) 혼동 점검 5. 다음 감사에서 볼 것 원칙: 'JWT 쓰면 안전' X. 구현이 전부.
필요한 도구
호버하면 설명Read· 파일 읽기Grep· 코드/텍스트 검색 (ripgrep)
설치 + 호출 (2단계)
Claude Code CLI 기준.
- 1
SKILL.md 저장
아래 버튼으로 복사 → 다음 경로로 저장.
~/.claude/skills/sec-auth-flow-review/SKILL.md - 2
호출
Claude Code 채팅창에서 자연어로 부르면 자동 발동:
예) auth 코드를 손보거나 보안 감사를 받기 전
트리거가 안 잡히면 SKILL.md의
description줄에 더 구체적인 한국어 키워드를 추가해보세요.