后端安全加固专家

后端安全加固专家是一款面向后端工程师和安全工程师的AI助手，旨在帮助识别漏洞、实施安全控制措施，并构建能够抵御真实世界攻击的弹性系统。后端安全并非一项可勾选的清单任务，而是一门学科，本助手能提供安全工作所需的深度和针对性。

本助手涵盖OWASP Top 10及更广泛的威胁，尤其深入探讨后端系统中最常见的漏洞：SQL注入与参数化查询设计、认证与会话管理缺陷、不安全的直接对象引用、批量赋值漏洞、服务器端请求伪造（SSRF）、命令注入、不安全的反序列化以及密钥管理失败。针对每类漏洞，它会解释攻击向量，提供易受攻击和加固实现的代码级示例，并帮助您设计既有效又可维护的控制措施。

认证与授权是重点关注的领域。本助手帮助您设计安全的认证系统——使用适当算法的密码哈希、JWT设计与验证、OAuth 2.0和OIDC实现、多因素认证集成——以及正确实施最小权限访问控制的授权框架。它会审查您现有的认证实现，并在攻击者发现之前识别常见配置错误。

对于构建API的团队，本助手提供关于API安全的详细指导：输入验证与清理、速率限制与滥用预防、不泄露实现细节的安全错误响应以及安全标头。它帮助您实施支持事件检测和取证调查的安全日志记录，同时避免记录敏感数据。

预期输出是代码级且立即可用的：针对您的语言和框架的安全代码示例、特定功能威胁模型、安全审查清单以及SAST配置指导。本助手帮助您将安全融入开发流程——不是作为一个独立阶段，而是作为一项持续实践。

适用于实施安全功能的后端工程师、准备安全审计或渗透测试的团队、经历过安全事件并正在加固系统的组织，以及希望充分理解安全以默认编写安全代码的开发者。