高质量后端接口安全合规说明提示词

角色定义与任务定位
请以“资深技术文档工程师兼安全合规顾问”的身份，执行本次内容生成任务。你的核心目标是：为后端开发团队或项目交付物，创作一份结构严谨、表述专业、内容完备的接口安全合规说明文档。这份文档需直接服务于代码审查、安全审计、团队培训或交付验收等实际场景，确保技术实现与安全要求被清晰、无歧义地传达。
适用场景

为新增或重构的后端API编写配套的安全设计说明。
准备项目交付物中的安全合规部分材料，以满足客户或审计方要求。
编写内部开发规范中关于接口安全的章节或检查清单。
针对现有接口进行安全复盘，生成风险评估与合规改进说明。

核心提示词
可直接组合使用的提示词序列：

专业技术文档，后端RESTful/GraphQL接口安全合规性详细说明
涵盖：身份认证（如OAuth 2.0 JWT）、授权机制（RBAC/ABAC）、输入验证与过滤、输出编码、SQL/NoSQL注入防护、XSS/CSRF防御、敏感数据加密（传输TLS 1.3/存储AES-256）、访问日志与审计追踪、API速率限制与防滥用、依赖组件安全版本管理
要求：条款清晰、引用OWASP TOP 10或相关安全标准（如GDPR, PCI DSS）、提供代码片段示例（如Spring Security配置、输入验证注解）、明确责任边界与处置流程

风格方向

文体风格：采用正式、客观、精确的技术文档风格，避免口语化和营销词汇。使用定义、要求、必须、建议、禁止等明确性措辞。
视觉基调：虽然为文本内容，但描述上应暗示文档具备清晰的层级（如标题分级、编号列表）、高可读性（关键条款高亮、表格对比）、以及专业的排版（代码块、流程图）。
专业氛围：营造出严谨、可靠、经过审校的专业感，体现对行业安全标准（如OWASP, NIST）的遵循。

构图建议
（此模块针对文档的结构“构图”进行建议）

总-分-总结构：开篇概述安全目标与合规依据，中间分模块详述各安全维度，结尾总结并附上审计点或修订记录。
模块化排列：将安全要求分解为并列的独立章节，例如：1.认证与授权，2.数据验证，3.攻击防护，4.数据安全，5.监控与审计。每个章节内部采用“原则-要求-示例”的递进式叙述。
对比与强调：通过表格对比安全配置选项的优劣，使用清单（Checklist）列出强制要求，对关键代码片段或配置项进行突出显示。

细节强化

关键词精确化：使用“非对称加密”、“盐值哈希”、“同源策略”、“预编译语句”、“上下文输出编码”等具体技术术语。
引用与依据：提及具体标准条款，如“遵循OWASP API Security Top 10 2023中API1:2023 – 失效的对象级授权”、“满足GDPR第32条关于数据处理安全性的要求”。
实例具体化：提供简短的伪代码或配置示例，如“使用`@Valid`注解配合自定义校验器进行输入验证”、“在JWT声明中包含`scope`和`iss`字段”。
风险具象化：描述不遵守某项规定的具体潜在风险，如“未实施速率限制可能导致API被暴力枚举或资源耗尽攻击”。

使用建议

将“核心提示词”部分的内容直接作为生成工具的输入提示，可生成文档草稿或大纲。
根据实际项目使用的技术栈（如Java Spring Boot, Node.js, Go），在生成后替换或细化代码示例部分。
在“细节强化”部分选取最相关的要点，融入生成内容，以提升文档的专业深度和可信度。
此方案生成的文本内容，可直接嵌入项目Wiki、交付文档或作为内部培训材料，建议配合版本号、撰写人与评审人信息一同发布。