funnyhcat-dotcom/api-session-management-doctor

GitHub: funnyhcat-dotcom/api-session-management-doctor

一个零依赖的 CLI 工具,用于在认证系统上线前审计会话管理文档的完整性与合规性,覆盖 cookie 属性、超时策略、注销失效、MFA、CSRF 等十余项安全检查点。

Stars: 0 | Forks: 0

# api-session-management-doctor 一个零依赖的 CLI 工具,用于在登录系统上线带有模糊超时、脆弱 cookie 或损坏的注销功能之前,审计 session 管理文档。 它检查 session 创建、cookie 属性、空闲和绝对超时、更新与轮换、注销失效、MFA/step-up、设备管理、并发限制、CSRF、风险检测、服务端存储、示例、测试、监控以及归属权。 ## 快速开始 ``` npx api-session-management-doctor docs/sessions.md ``` ## 检查项 - web/mobile/admin/API/tenant/device session 作用域 - 不透明的随机 session ID 和熵值 - Secure、HttpOnly、SameSite、`__Host-` cookie - 空闲超时和绝对 session 生命周期 - 更新、滑动 session、轮换、防止 session fixation - 注销、失效、撤销、cookie 清理 - MFA/2FA step-up 和重新认证 - 活动 session、受信任的设备、记住我、远程注销 - 并发 session 限制 - CSRF token、SameSite、OAuth state - 不可能的行程、新设备、IP/地理位置/UA 的风险警报 - 服务端 session 存储和 TTL - HTTP/JSON 示例 - Playwright/集成测试、指标、审计日志 - 身份/安全归属权 ## CI ``` api-session-management-doctor docs/sessions.md --min-score 85 ``` ## 许可证 MIT
标签:MITM代理, SOC Prime, 代码质量检查, 会话管理, 开发工具, 文档结构分析, 自定义脚本, 身份与访问控制