Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

lyxjack/springboot-security

Name: springboot-security
Author: lyxjack

Tool/everything-claude-code/docs/ja-JP/skills/springboot-security/SKILL.md

npx skillsauth add lyxjack/toolbox springboot-security

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

Spring Boot セキュリティレビュー

認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。

認証

ステートレスJWTまたは失効リスト付き不透明トークンを優先
セッションには httpOnly、Secure、SameSite=Strict クッキーを使用
OncePerRequestFilter またはリソースサーバーでトークンを検証

@Component
public class JwtAuthFilter extends OncePerRequestFilter {
  private final JwtService jwtService;

  public JwtAuthFilter(JwtService jwtService) {
    this.jwtService = jwtService;
  }

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain) throws ServletException, IOException {
    String header = request.getHeader(HttpHeaders.AUTHORIZATION);
    if (header != null && header.startsWith("Bearer ")) {
      String token = header.substring(7);
      Authentication auth = jwtService.authenticate(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }
    chain.doFilter(request, response);
  }
}

認可

メソッドセキュリティを有効化: @EnableMethodSecurity
@PreAuthorize("hasRole('ADMIN')") または @PreAuthorize("@authz.canEdit(#id)") を使用
デフォルトで拒否し、必要なスコープのみ公開

入力検証

@Valid を使用してコントローラーでBean Validationを使用
DTOに制約を適用: @NotBlank、@Email、@Size、カスタムバリデーター
レンダリング前にホワイトリストでHTMLをサニタイズ

SQLインジェクション防止

Spring Dataリポジトリまたはパラメータ化クエリを使用
ネイティブクエリには :param バインディングを使用し、文字列を連結しない

CSRF保護

ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める
Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存

http
  .csrf(csrf -> csrf.disable())
  .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

シークレット管理

ソースコードにシークレットを含めない。環境変数またはvaultから読み込む
application.yml を認証情報から解放し、プレースホルダーを使用
トークンとDB認証情報を定期的にローテーション

セキュリティヘッダー

http
  .headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
      .policyDirectives("default-src 'self'"))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)
    .xssProtection(Customizer.withDefaults())
    .referrerPolicy(rp -> rp.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER)));

レート制限

高コストなエンドポイントにBucket4jまたはゲートウェイレベルの制限を適用
バーストをログに記録してアラートを送信し、リトライヒント付きで429を返す

依存関係のセキュリティ

CIでOWASP Dependency Check / Snykを実行
Spring BootとSpring Securityをサポートされているバージョンに保つ
既知のCVEでビルドを失敗させる

ロギングとPII

シークレット、トークン、パスワード、完全なPANデータをログに記録しない
機密フィールドを編集し、構造化JSONロギングを使用

ファイルアップロード

サイズ、コンテンツタイプ、拡張子を検証
Webルート外に保存し、必要に応じてスキャン

リリース前チェックリスト

[ ] 認証トークンが正しく検証され、期限切れになっている
[ ] すべての機密パスに認可ガードがある
[ ] すべての入力が検証およびサニタイズされている
[ ] 文字列連結されたSQLがない
[ ] アプリケーションタイプに対してCSRF対策が正しい
[ ] シークレットが外部化され、コミットされていない
[ ] セキュリティヘッダーが設定されている
[ ] APIにレート制限がある
[ ] 依存関係がスキャンされ、最新である
[ ] ログに機密データがない

注意: デフォルトで拒否し、入力を検証し、最小権限を適用し、設定によるセキュリティを優先します。

lyxjack/springboot-security

Tool/everything-claude-code/docs/ja-JP/skills/springboot-security/SKILL.md

Spring Security best practices for authn/authz, validation, CSRF, secrets, headers, rate limiting, and dependency security in Java Spring Boot services.

1 stars

development

Updated Apr 23, 2026

$ install --global

skillsauth

npx skillsauth add lyxjack/toolbox springboot-security

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Mar 29, 2026, 5:17 AM36.8s1 file scanned

SKILL.md

name:: springboot-security
description:: Spring Security best practices for authn/authz, validation, CSRF, secrets, headers, rate limiting, and dependency security in Java Spring Boot services.

Spring Boot セキュリティレビュー

認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。

認証

ステートレスJWTまたは失効リスト付き不透明トークンを優先
セッションには httpOnly、Secure、SameSite=Strict クッキーを使用
OncePerRequestFilter またはリソースサーバーでトークンを検証

@Component
public class JwtAuthFilter extends OncePerRequestFilter {
  private final JwtService jwtService;

  public JwtAuthFilter(JwtService jwtService) {
    this.jwtService = jwtService;
  }

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain) throws ServletException, IOException {
    String header = request.getHeader(HttpHeaders.AUTHORIZATION);
    if (header != null && header.startsWith("Bearer ")) {
      String token = header.substring(7);
      Authentication auth = jwtService.authenticate(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }
    chain.doFilter(request, response);
  }
}

認可

メソッドセキュリティを有効化: @EnableMethodSecurity
@PreAuthorize("hasRole('ADMIN')") または @PreAuthorize("@authz.canEdit(#id)") を使用
デフォルトで拒否し、必要なスコープのみ公開

入力検証

@Valid を使用してコントローラーでBean Validationを使用
DTOに制約を適用: @NotBlank、@Email、@Size、カスタムバリデーター
レンダリング前にホワイトリストでHTMLをサニタイズ

SQLインジェクション防止

Spring Dataリポジトリまたはパラメータ化クエリを使用
ネイティブクエリには :param バインディングを使用し、文字列を連結しない

CSRF保護

ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める
Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存

http
  .csrf(csrf -> csrf.disable())
  .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

シークレット管理

ソースコードにシークレットを含めない。環境変数またはvaultから読み込む
application.yml を認証情報から解放し、プレースホルダーを使用
トークンとDB認証情報を定期的にローテーション

セキュリティヘッダー

http
  .headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
      .policyDirectives("default-src 'self'"))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)
    .xssProtection(Customizer.withDefaults())
    .referrerPolicy(rp -> rp.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER)));

レート制限

高コストなエンドポイントにBucket4jまたはゲートウェイレベルの制限を適用
バーストをログに記録してアラートを送信し、リトライヒント付きで429を返す

依存関係のセキュリティ

CIでOWASP Dependency Check / Snykを実行
Spring BootとSpring Securityをサポートされているバージョンに保つ
既知のCVEでビルドを失敗させる

ロギングとPII

シークレット、トークン、パスワード、完全なPANデータをログに記録しない
機密フィールドを編集し、構造化JSONロギングを使用

ファイルアップロード

サイズ、コンテンツタイプ、拡張子を検証
Webルート外に保存し、必要に応じてスキャン

リリース前チェックリスト

[ ] 認証トークンが正しく検証され、期限切れになっている
[ ] すべての機密パスに認可ガードがある
[ ] すべての入力が検証およびサニタイズされている
[ ] 文字列連結されたSQLがない
[ ] アプリケーションタイプに対してCSRF対策が正しい
[ ] シークレットが外部化され、コミットされていない
[ ] セキュリティヘッダーが設定されている
[ ] APIにレート制限がある
[ ] 依存関係がスキャンされ、最新である
[ ] ログに機密データがない

注意: デフォルトで拒否し、入力を検証し、最小権限を適用し、設定によるセキュリティを優先します。

Related Skills

lyxjack/vercel-react-native-skills

development

VerifiedTrustedCommunity

React Native and Expo best practices for building performant mobile apps. Use when building React Native components, optimizing list performance, implementing animations, or working with native modules. Triggers on tasks involving React Native, Expo, mobile performance, or native platform APIs.

1SKILL.mdUpdated Apr 24, 2026

lyxjack/vercel-react-native-skills

lyxjack/frontend-design

development

VerifiedTrustedCommunity

Create distinctive, production-grade frontend interfaces with high design quality. Use this skill when the user asks to build web components, pages, artifacts, posters, or applications (examples include websites, landing pages, dashboards, React components, HTML/CSS layouts, or when styling/beautifying any web UI). Generates creative, polished code and UI design that avoids generic AI aesthetics.

1SKILL.mdUpdated Apr 24, 2026

lyxjack/frontend-design

lyxjack/find-skills

data-ai

VerifiedTrustedCommunity

Helps users discover and install agent skills when they ask questions like "how do I do X", "find a skill for X", "is there a skill that can...", or express interest in extending capabilities. This skill should be used when the user is looking for functionality that might exist as an installable skill.

1SKILL.mdUpdated Apr 24, 2026

lyxjack/x-api

development

VerifiedTrustedCommunity

X/Twitter API integration for posting tweets, threads, reading timelines, search, and analytics. Covers OAuth auth patterns, rate limits, and platform-native content posting. Use when the user wants to interact with X programmatically.

1SKILL.mdUpdated Apr 24, 2026

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/lyxjack/toolbox.git

# Copy into Claude Code skills folder (global)
cp -r toolbox/Tool/everything-claude-code/docs/ja-JP/skills/springboot-security ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

lyxjack/toolbox

1 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT