【OpenSkills使用二】自定义 Skill 的实现

小浣熊喜欢揍臭臭2026-03-13 15:07

OpenSkills 安装指南 中,我们了解了如何安装官方提供的技能库。本篇将详细介绍如何实现一个自定义的 Skill ------ 以 user-login(管理员登录) 为例。

1. 自定义 Skill 的核心目录结构

自定义技能通常存放在项目根目录下的 .claude/skills/ 中,其最小结构如下:

text 复制代码 
.claude/skills/
└── user-login/
    ├── SKILL.md           # 技能的核心说明文件(必须)
    └── .openskills.json   # 技能元数据(由同步工具生成或手动配置)

2. 案例分析:user-login 管理员登录技能

2.1 编写 SKILL.md

SKILL.md 是 AI 掌握技能的关键。我们需要在其中定义元数据、实施指南和代码模式。

以下是 user-login 技能的完整定义内容:

markdown 复制代码 
---
name: "user-login"
description: "提供用户登录功能的通用实现方案。在用户需要实现、修改或优化用户身份验证、登录流程或相关安全逻辑时调用。"
---

# User Login Skill

本 Skill 指导如何构建一个安全、稳健且用户体验良好的登录系统。

## 适用场景
当用户提出以下需求时,应调用此 Skill:
- "实现登录功能"
- "增加用户身份验证"
- "优化登录页面的安全性"

## 核心设计原则
1. **安全性第一**:保护用户凭据,防止常见攻击(SQL 注入、XSS、CSRF、暴力破解)。
2. **体验流畅**:减少用户输入负担,提供清晰的反馈。

## 实施指南
### 1. 安全检查清单 (Security Checklist)
- [ ] **密码哈希**:使用 `bcrypt` 或 `argon2` 进行加盐哈希,绝不存储明文。
- [ ] **Session 管理**:使用安全标志配置 Cookie,或使用带过期时间的 JWT。
- [ ] **最小化信息泄露**:错误提示应模糊化,如"用户名或密码错误"。

### 2. 前端实现建议
- **表单验证**:在提交前进行基础校验。
- **加载状态**:提交时显示 Loading,防止重复点击。

## 常用模式示例
### 密码验证 (Node.js/bcrypt)
```javascript
const isValid = await bcrypt.compare(password, user.passwordHash);
if (!isValid) {
  return res.status(401).json({ message: '凭据无效' });
}
复制代码 
你可以参考项目中已实现的 [SKILL.md](./openSkillExample/.claude/skills/user-login/SKILL.md)。

### 2.2 核心设计原则

在实现 `user-login` 技能时,我们强调了以下三点:
1. **安全性第一**:强制要求使用哈希加密(如 `bcrypt`)存储密码,防止明文泄露。
2. **最小化泄露**:登录失败时的错误提示必须模糊化(如"用户名或密码错误"),防止用户名枚举攻击。
3. **加载状态反馈**:前端表单提交时必须显示 Loading,提升交互体验。

## 3. 实现步骤:从技能到代码

### 第一步:创建技能定义
在 `.claude/skills/user-login/` 目录下创建并完善 `SKILL.md`。

### 第二步:同步技能
在终端运行以下命令,让 AI 代理"感知"到这个新技能:
```bash
openskills sync -y

该命令会自动将技能信息更新到根目录下的 AGENTS.md 中。

第三步:调用技能生成代码

现在,你可以直接在 Trae 中向 AI 下达指令:

"使用 user-login 技能,帮我写一个管理员登录界面和后端验证逻辑。"

第四步:代码落地示例

根据 user-login 技能的要求,AI 会生成如下高质量的代码:

4. 总结:为什么要自定义 Skill?

通过自定义 user-login 这种高频、通用的技能,我们可以:

  • 固化最佳实践:将团队的安全规范(如 JWT 过期时间、哈希算法)直接写进技能。
  • 极大提高效率 :无需每次手动叮嘱 AI 注意安全细节,AI 会自动遵循 SKILL.md 中的规范。
  • 跨项目复用 :只需将 .claude/skills/user-login 文件夹复制到新项目并同步,AI 就能立即在新环境中复用该能力。
相关推荐
沪漂阿龙1 小时前
面试题:聚类方法一文讲透——K-means、层次聚类、K 值选择、初始化、距离度量、DBSCAN 全拆解
人工智能·数据挖掘·kmeans·聚类
counterxing3 小时前
我整理了一个免费开发资源目录,还做成了 CLI 和 MCP
前端·agent·ai编程
牧子川8 小时前
009-Transformer-Architecture
人工智能·深度学习·transformer
covco8 小时前
矩阵管理系统指南:拆解星链引擎的架构设计与全链路落地实践
大数据·人工智能·矩阵
沪漂阿龙8 小时前
AI大模型面试题:支持向量机是什么?间隔最大化、软间隔、核函数、LinearSVC 全面拆解
人工智能·算法·支持向量机
lifewange8 小时前
AI编写测试用例工具介绍
人工智能·测试用例
陕西字符8 小时前
2026 西安 豆包获客优化技术深度解析:企来客科技 AI 全域获客系统测评
大数据·人工智能
掘金安东尼8 小时前
GGUF、GPTQ、AWQ、EXL2、MLX、VMLX...运行大模型,为什么会有这么多格式?
人工智能
新知图书8 小时前
市场分析报告自动化生成(使用千问)
人工智能·ai助手·千问·高效办公
无心水8 小时前
【Hermes:安全、权限与生产环境】38、Hermes Agent 安全四层纵深:最小权限原则从理论到落地的完全指南
人工智能·安全·mcp协议·openclaw·养龙虾·hermes·honcho
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【AI】2026 年具身智能模型和世界模型总结05零基础教你claude code 接入 deepseek V406Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)07codex app每次打开重连5次Reconnecting问题解决08要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法09Windows端Codex接入第三方模型(DeekSeek,BaiLian)10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法