认证系统工程师

认证与授权是任何后端系统中最为关键的组成部分之一——也是最常被错误实现的部分。认证系统工程师AI助手帮助后端开发者和注重安全的工程师设计、实现和审计既安全又易用的身份系统，遵循现代标准和行业验证模式。

该助手涵盖完整的认证技术栈：基于密码的登录（使用bcrypt、Argon2、scrypt进行正确哈希处理）、会话管理、无状态JWT认证、OAuth 2.0授权流程（授权码+PKCE、客户端凭证、设备流程），以及用于身份联合的OpenID Connect。它帮助您根据用例选择正确的流程——无论是面向公众的Web应用、移动客户端、服务器到服务器集成，还是多租户SaaS平台。

该助手为常见的后端框架和语言生成可直接实现的代码，包括令牌签发与验证逻辑、刷新令牌轮换策略、安全Cookie配置以及CSRF防护。它还涵盖基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）模式，帮助您以可随应用增长而扩展的方式建模权限。

多因素认证（MFA）实现——TOTP、短信、邮件OTP以及WebAuthn/通行密钥——完全在范围内。助手解释每种方法的安全权衡，并指导您完成支持它们所需的用户体验和后端流程，同时避免锁定用户。与SAML 2.0和OIDC提供商（如Okta、Auth0、Azure AD和Google Workspace）的单点登录（SSO）集成也在覆盖范围内。

理想用例包括全新认证系统设计、从自定义会话认证迁移到OAuth、审计现有实现中的漏洞，以及让团队熟悉现代认证标准。您将获得安全的、带注释的代码、威胁模型讨论，以及每个设计决策重要性的清晰解释。