cms-tokens-authentication

Tư vấn cho nhà phát triển cách chọn phương thức xác thực Contentstack và loại token phù hợp cho các trường hợp sử dụng frontend, backend, tự động hóa và ứng dụng bên thứ ba.

npx skills add https://github.com/contentstack/contentstack-agent-skills --skill cms-tokens-authentication

Tokens & Authentication

Description

Advise developers on choosing the right Contentstack authentication method and token type for frontend, backend, automation, and third-party app use cases. Include security guidance, rate-limit awareness, and SSO considerations.

When to Use

Use when developers ask about authentication, token types, API keys, rate limits, SSO integration, or credential security.

User Problem

Developers need to authenticate correctly for their use case without exposing sensitive credentials or violating access rules. They need a clear recommendation for the right token type and the safest way to use it.

Success Criteria

Recommends the correct token type for the scenario. Explains what is safe for client-side versus server-side use. Includes practical security guidance and credential-handling rules. Calls out rate-limit implications when relevant. Addresses SSO-specific constraints when applicable.

Expected Inputs

  • Use case: frontend, backend script, CI/CD, migration, third-party app, or interactive session
  • SSO requirements
  • Rate limit concerns
  • Security requirements

Expected Outputs

  • Token type recommendation
  • Security best practices
  • Rate limit guidance
  • SSO-specific advice

Example User Requests

  • What token should I use in my frontend app?
  • What is the difference between a management token and an authtoken?
  • How do I handle rate limits in my script?
  • Can I use authtokens in an SSO-enabled organization?
  • How many management tokens can I have per stack?

Workflow Summary

Identify the use case and runtime environment. Recommend the appropriate authentication method or token type. State what is safe for client-side versus server-side use. Add security and credential-handling guidance. Explain rate limits and backoff behavior if relevant. Include SSO constraints when applicable.

Instructions

Token decision rules

Frontend reads of published content: use a delivery token. Live preview of draft content: use a preview token. Backend automation, CI/CD, and migration scripts: use a management token. Interactive user sessions: use an authtoken only when appropriate. Third-party apps: prefer OAuth with scoped access.

Key limits

Management tokens are stack-level and limited per stack. Authtokens are user-specific and have their own limits. Mention rate-limit headers and retry strategy when the user asks about throughput or 429 errors.

SSO organizations

Call out that SSO can restrict authtoken usage. For automation in SSO orgs, recommend management tokens or OAuth instead of authtokens.

Security rules

Never expose management tokens or authtokens in client-side code. Use environment variables for credentials. Never hardcode secrets in source code. Recommend rotation and least-privilege access.

Rate limit handling

Recommend exponential backoff with jitter for 429 responses. Advise checking rate-limit headers before retrying. Keep guidance practical and concise.

Output Format

Be concise and direct. Always state whether a credential is safe for client-side or server-side use. Use bullets when comparing token types. Do not include raw secrets or example real tokens.

Tooling Notes

Read-only advisory skill. Do not create, modify, or delete tokens. Use documentation sources when needed. Prefer read-only tools only.

Security

Defaults

Never expose management tokens, authtokens, API keys, or OAuth secrets. Use placeholders and environment variables only. Never suggest bypassing access controls or security policies. Prefer least-privilege access and token rotation.

Destructive Actions

Do not perform destructive or credential-changing actions. This skill only advises; it must not create, revoke, rotate, or delete tokens.

Secrets

Never request, display, or store real secrets. If a secret is needed in an example, use a placeholder name only.

Environment Variables

Recommend environment variables for all credentials. Use descriptive names such as CONTENTSTACK_API_KEY, CONTENTSTACK_DELIVERY_TOKEN, and CONTENTSTACK_MANAGEMENT_TOKEN.

Product Context

    • Product: CMS
    • Description: Contentstack headless CMS: content types, entries, assets, environments, publishing, workflows, webhooks, and the Content Management API (CMA).
    • Product safety rules: - Never expose management tokens or API keys.
  • Always use environment variables for credentials.
  • Route all CMA calls through server-side proxies in browser apps.
  • Never hardcode stack API keys in client-side code.
    • Default tools: ["CMA API", "Content Types", "Entries", "Assets", "Workflows", "Webhooks", "Environments", "Releases", "Publish Queue"]
    • Default connectors: ["CMA Proxy", "Webhooks"]

Thêm skills từ contentstack

brand-kit-assistant
contentstack
Tư vấn cho người dùng về các khái niệm, thiết lập, quản trị của Contentstack Brand Kit, và tạo nội dung AI đúng thương hiệu. Chuyển các tác vụ cụ thể liên quan đến API đến đúng khả năng của Brand Kit hoặc…
official
cms-assets
contentstack
Tư vấn cho nhà phát triển về cách tổ chức, phân phối và chuyển đổi tài sản trong Contentstack. Bao gồm cấu trúc thư mục, chuyển đổi qua Image Delivery API, xuất bản…
official
cms-branches-aliases
contentstack
Tư vấn cho nhà phát triển về cách sử dụng nhánh Contentstack để phát triển nội dung độc lập và bí danh để triển khai nội dung không gián đoạn. Bao gồm chiến lược nhánh,…
official
cms-data-modeling-best-practices
contentstack
Hướng dẫn nhà phát triển mô hình hóa nội dung trong Contentstack bằng cấu trúc đơn giản, có thể tái sử dụng. Kỹ năng này giải thích khi nào nên sử dụng loại nội dung, tham chiếu, toàn cục…
official
cms-entries
contentstack
Tư vấn cho nhà phát triển về cách truy vấn, bản địa hóa, quản lý phiên bản, xuất bản và cấu trúc các mục Contentstack để phân phối hiệu quả. Tập trung vào việc sử dụng CDA, tham chiếu…
official
cms-environments-publishing
contentstack
Tư vấn cho nhà phát triển về cấu hình môi trường, xuất bản nội dung, sử dụng token phân phối và xem trước, tận dụng Sync API, và hiểu về CDN cùng…
official
cms-live-preview-visual-builder-support-assistant
contentstack
Chẩn đoán và hướng dẫn triển khai Contentstack Live Preview và Visual Builder. Theo dõi ngữ cảnh xem trước, xác định hợp đồng bị hỏng, và đề xuất…
official
cms-localization
contentstack
Tư vấn cho nhà phát triển về bản địa hóa Contentstack: thiết lập ngôn ngữ, chuỗi dự phòng, mục nhập đã bản địa hóa và chưa bản địa hóa, trường không thể bản địa hóa, và đa ngôn ngữ…
official