api-development

这是一个 Meta-skill，用于编排完整的 API 开发生命周期，将复杂的开发过程分解为七个有序步骤：从初始的 API 设计（建立资源模型和 URL 结构），到生成 OpenAPI 3.x 规范，再到脚手架代码生成、业务逻辑实现、多层级测试（单元、集成、契约测试）、文档编写，最后到版本控制和部署。通过这种编排，它将分散的 specialized skills 整合为统一的工作流。

核心优势在于其系统化的方法论和实用的决策工具。它提供了详细的 REST、GraphQL 和 gRPC 对比决策表，帮助开发者根据数据获取模式、缓存需求、实时性要求等因素选择合适的技术方案。更重要的是，它内置了生产级的安全检查清单，涵盖认证授权、限流、分页、错误处理、CORS 等关键安全领域，确保 API 从设计阶段就具备企业级安全基线。此外，技能路由表功能可以智能地将具体需求导向相应的 specialized skills，如认证模式、缓存策略或数据库迁移等。

然而，该 skill 也存在一定局限性。首先，它是纯文档型资产，仅提供开发指导和最佳实践，不具备自动化代码生成或执行能力，实际开发工作仍需开发者手动完成。其次，作为 meta-skill，它会协调调用其他 specialized skills，而这些被调用的技能并未包含在安全审查范围内，使用者需要自行评估其安全性。此外，内容来源于个人开发者账号（T3 可信度），虽然文档质量较高，但长期维护和更新可能存在不确定性。对于追求极致自动化或特定技术栈的团队，可能需要额外定制。

该 skill 最适合后端工程师、技术架构师、全栈开发者以及 API 产品经理使用。无论是从零构建新 API、为现有系统添加端点，还是进行 API 重构和版本规划，都能从中获益。特别适合那些希望建立标准化 API 开发流程、提升团队协作效率，或需要系统性学习 API 安全最佳实践的技术团队。

使用风险方面，除了前述的依赖技能需单独审查外，还需注意该 skill 提供的检查清单和流程建议属于通用最佳实践，实际应用时需要结合具体业务场景和技术栈进行调整，盲目遵循可能导致过度工程化。同时，由于不涉及实际代码执行，它无法自动防范编码阶段的具体安全漏洞，这些仍需通过代码审查和专门的安全测试来保障。

核心用法

api-development 是一款编排型 Meta-skill，整合 API 开发的完整生命周期。它通过 7 步标准化流程协调多个专业子技能：

1. Design → 调用 api-design 建立资源模型、URL 结构、错误格式
2. Spec → 生成 OpenAPI 3.x 规范文档
3. Scaffold → 生成路由文件、类型定义、校验模式
4. Implement → 编写服务层逻辑（控制器保持轻量）
5. Test → 单元/集成/契约三级测试覆盖
6. Document → 输出可读文档、SDK 示例、变更日志
7. Deploy → 应用版本策略并部署

显著优点

• 流程标准化：消除"跳过设计直接编码"的常见反模式
• 决策支持：内置 REST vs GraphQL vs gRPC 对比决策表，帮助团队选择正确范式
• 质量门禁：提供 40+ 项检查清单，涵盖认证、限流、分页、CORS、监控等关键维度
• 安全内建：强调 "NEVER" 原则——禁止暴露数据库模式、禁止无认证部署、禁止破坏向后兼容性
• 技能路由：自动映射需求到专业子技能（api-versioning、auth-patterns、rate-limiting 等）

潜在局限

• T3 来源风险：来自个人开发者 wpank，仓库创建于 2026-02，社区关注度低（8 stars/3 forks）
• 依赖外部技能：实际执行需确保 api-design、auth-patterns 等依赖技能已安装且通过安全认证
• 无自动代码生成：仅提供指导框架，不直接输出可运行代码
• 语言/框架中立：未针对特定技术栈（Node.js/Django/Go 等）做深度定制

适合人群

• 需要建立 API 开发规范的中大型团队
• 从单体向微服务迁移的架构师
• 技术负责人制定团队 Checklist 和代码审查标准
• 全栈开发者作为 API 设计决策参考手册

常规风险

• 来源可信度：T3 级别需额外人工审查，生产环境建议对比 T1/T2 官方替代方案
• 版本漂移风险：依赖的 7+ 子技能若版本不匹配可能导致工作流断裂
• 合规盲区：文档强调 GDPR/CCPA 数据最小化，但未涉及中国《个人信息保护法》本地化要求
• 过度工程化风险：小型项目完整执行 7 步流程可能效率低下