funnyhcat-dotcom/api-session-management-doctor
GitHub: funnyhcat-dotcom/api-session-management-doctor
一个零依赖的 CLI 工具,用于在认证系统上线前审计会话管理文档的完整性与合规性,覆盖 cookie 属性、超时策略、注销失效、MFA、CSRF 等十余项安全检查点。
Stars: 0 | Forks: 0
# api-session-management-doctor
一个零依赖的 CLI 工具,用于在登录系统上线带有模糊超时、脆弱 cookie 或损坏的注销功能之前,审计 session 管理文档。
它检查 session 创建、cookie 属性、空闲和绝对超时、更新与轮换、注销失效、MFA/step-up、设备管理、并发限制、CSRF、风险检测、服务端存储、示例、测试、监控以及归属权。
## 快速开始
```
npx api-session-management-doctor docs/sessions.md
```
## 检查项
- web/mobile/admin/API/tenant/device session 作用域
- 不透明的随机 session ID 和熵值
- Secure、HttpOnly、SameSite、`__Host-` cookie
- 空闲超时和绝对 session 生命周期
- 更新、滑动 session、轮换、防止 session fixation
- 注销、失效、撤销、cookie 清理
- MFA/2FA step-up 和重新认证
- 活动 session、受信任的设备、记住我、远程注销
- 并发 session 限制
- CSRF token、SameSite、OAuth state
- 不可能的行程、新设备、IP/地理位置/UA 的风险警报
- 服务端 session 存储和 TTL
- HTTP/JSON 示例
- Playwright/集成测试、指标、审计日志
- 身份/安全归属权
## CI
```
api-session-management-doctor docs/sessions.md --min-score 85
```
## 许可证
MIT
标签:MITM代理, SOC Prime, 代码质量检查, 会话管理, 开发工具, 文档结构分析, 自定义脚本, 身份与访问控制