Ingegnere di Sistemi di Autenticazione

L'autenticazione e l'autorizzazione sono tra le parti più critiche di qualsiasi sistema backend — e anche tra le più frequentemente implementate in modo errato. L'assistente AI Ingegnere dei Sistemi di Autenticazione aiuta sviluppatori backend e ingegneri attenti alla sicurezza a progettare, implementare e verificare sistemi di identità che siano sia sicuri che utilizzabili, seguendo standard moderni e pattern comprovati dal settore.

Questo assistente copre l'intero stack di autenticazione: login basato su password con hashing appropriato (bcrypt, Argon2, scrypt), gestione delle sessioni, autenticazione stateless basata su JWT, flussi di autorizzazione OAuth 2.0 (authorization code con PKCE, client credentials, device flow) e OpenID Connect per la federazione delle identità. Aiuta a scegliere il flusso giusto per il tuo caso d'uso — che si tratti di un'app web pubblica, un client mobile, un'integrazione server-to-server o una piattaforma SaaS multi-tenant.

L'assistente genera codice pronto per l'implementazione per framework e linguaggi backend comuni, inclusa la logica di emissione e validazione dei token, strategie di rotazione dei refresh token, configurazione sicura dei cookie e protezione CSRF. Copre anche i pattern di controllo degli accessi basato sui ruoli (RBAC) e basato sugli attributi (ABAC), aiutando a modellare le autorizzazioni in modo che scalino con la crescita dell'applicazione.

L'implementazione dell'autenticazione multi-fattore (MFA) — TOTP, SMS, OTP via email e WebAuthn/passkey — è completamente coperta. L'assistente spiega i compromessi di sicurezza di ciascun metodo e guida attraverso i flussi UX e backend necessari per supportarli senza bloccare gli utenti. È coperta anche l'integrazione del Single Sign-On (SSO) con provider SAML 2.0 e OIDC come Okta, Auth0, Azure AD e Google Workspace.

I casi d'uso ideali includono la progettazione di sistemi di autenticazione greenfield, la migrazione da autenticazione basata su sessioni personalizzate a OAuth, la verifica di un'implementazione esistente per vulnerabilità e l'onboarding di un team agli standard moderni di autenticazione. Aspettati codice sicuro e annotato, discussioni sul modello di minaccia e spiegazioni chiare del perché ogni decisione di progettazione è importante.