Ory Kratos ตัวแทนโอเพนซอร์สของ Auth0 ตอนนี้รองรับ Passwordless และ SMS แล้ว

 (github.com/ory)
14 คะแนน โดย xguru 2024-02-26 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • เปิดตัว Ory Kratos v1.1: เซิร์ฟเวอร์จัดการตัวตนแบบโอเพนซอร์สที่ขยายระบบได้และมีความปลอดภัยมากขึ้น

ฟีเจอร์ใหม่และการปรับปรุง

  • การยืนยันตัวตนด้วยโทรศัพท์มือถือและ 2FA ผ่าน SMS: ผสานรวมกับ SMS gateway อย่าง Twilio ได้ง่ายเพื่อเสริมความปลอดภัย
  • รองรับการแปลและ internationalization: รองรับหลายภาษาเพื่อเพิ่มการเข้าถึงสำหรับผู้ใช้ทั่วโลก
  • รองรับการล็อกอินแบบเนทีฟกับ Google และ Apple: รองรับ "ลงชื่อเข้าใช้ด้วย Google" และ "ลงชื่อเข้าใช้ด้วย Apple" แบบเนทีฟบนแพลตฟอร์มมือถือ
  • การเชื่อมบัญชี: เพิ่มฟีเจอร์ใหม่เพื่อให้การเชื่อมบัญชีทำได้ง่ายขึ้นเมื่อเข้าสู่ระบบด้วยบัญชีโซเชียลที่ใช้อีเมลเดียวกัน
  • การล็อกอินแบบ Passwordless ด้วย "Magic Code": ส่งโค้ดใช้ครั้งเดียวทางอีเมลเพื่อใช้ล็อกอิน เป็นทางเลือกเมื่อผู้ใช้ลืมรหัสผ่านหรือไม่สามารถใช้โซเชียลล็อกอินได้
  • แปลงเซสชันเป็น JWT: แปลงคุกกี้หรือโทเคนของ Ory session เป็น JSON Web Token (JWT) เพื่อให้การจัดการเซสชันและการเชื่อมต่อกับระบบอื่นยืดหยุ่นขึ้น
  • เพิ่มความน่าเชื่อถือในการส่งอีเมล: ปรับปรุงความน่าเชื่อถือของการส่งอีเมลผ่านผู้ให้บริการหลายราย
  • ปรับปรุง HTTP API และเมธอด SDK ที่เกี่ยวข้อง: เพิ่มประสิทธิภาพการเรียก API และปรับปรุงให้ใช้งานเป็นมิตรยิ่งขึ้น
  • นำ keyset pagination มาใช้: เพื่อเพิ่มประสิทธิภาพของรายการตัวตน
  • รองรับหลายแหล่งที่มาสำหรับ Passkeys และ WebAuthn: มีประโยชน์เมื่อทำงานกับซับโดเมน
  • ปรับปรุง flow การออกจากระบบ: เปลี่ยนเส้นทางผู้ใช้ไปยังพารามิเตอร์ return_to ที่ตั้งไว้เมื่อเรียก API
  • แก้ไขข้อผิดพลาดที่บังคับให้ยืนยันรหัสผ่านเมื่ออัปเดตการตั้งค่า: แก้ปัญหาการร้องขอยืนยันรหัสผ่านที่ไม่ถูกต้องเมื่อผู้ใช้อัปเดตการตั้งค่า
  • ให้ login hint เมื่อลงทะเบียนด้วยบัญชีที่มีอยู่แล้ว: ให้คำแนะนำแก่ผู้ใช้ที่พยายามสมัครด้วยบัญชีที่มีอยู่แล้ว ให้เข้าสู่ระบบด้วยบัญชีเดิม
  • รองรับ hot reload สำหรับการตั้งค่า CORS: ใช้งานการเปลี่ยนแปลง CORS ได้โดยไม่ต้องรีสตาร์ตเซิร์ฟเวอร์
  • ปรับปรุงการผสานรวมกับ Ory OAuth2 / Ory Hydra: ปรับปรุงการออกจากระบบ การจัดการเซสชันล็อกอิน การยืนยัน และ flow การกู้คืน
  • เพิ่มวิธีล็อกอินแบบ Passwordless ใหม่ "Magic Code": สามารถล็อกอินและสมัครสมาชิกได้ด้วยการส่งโค้ดใช้ครั้งเดียวทางอีเมล
  • ปรับปรุงการผสานรวมโซเชียลล็อกอิน: สามารถใช้สถานะอีเมลที่ยืนยันแล้วจากผู้ให้บริการโซเชียลล็อกอินได้
  • internationalization สำหรับ Ory Elements และ Ory Account Experience พื้นฐาน: รองรับการทำ internationalization ผ่านการแปล
  • สามารถแปลงคุกกี้หรือโทเคนของ Ory session เป็น JWT ได้: เพิ่มฟีเจอร์สำหรับการจัดการเซสชันและการผสานรวมกับระบบอื่น
  • ปรับปรุงความสามารถด้านการกู้คืนในแอปเนทีฟ: ช่วยให้ผู้ใช้ทำขั้นตอนกู้คืนเสร็จได้โดยไม่ต้องสลับไปยังเบราว์เซอร์
  • เพิ่มความสามารถให้แอดมินค้นหาแบบ fuzzy ผู้ใช้จากตัวระบุได้: ยังอยู่ในขั้นพรีวิว
  • รองรับการนำเข้ารหัสผ่านที่แฮชด้วย HMAC: เพิ่มฟีเจอร์เพื่อเสริมความปลอดภัย
  • รองรับการอัปเดต metadata ของผู้ดูแล identity ผ่าน webhook: ปรับปรุงความสามารถฝั่งผู้ดูแลระบบ
  • เพิ่มความสามารถในการยกเลิกทุกเซสชันของผู้ใช้เมื่อเปลี่ยนรหัสผ่าน: เพิ่มฟีเจอร์เพื่อเสริมความปลอดภัย
  • รองรับ webhook สำหรับการล็อกอิน การลงทะเบียน และวิธีล็อกอิน: รองรับ webhook สำหรับทุกวิธีล็อกอิน รวมถึง Passkeys, TOTP และอื่น ๆ
  • แสดง label ที่ถูกต้องแทน "ID" บนหน้าจอล็อกอิน: เช่นดึงมาจากสคีมาตัวระบุอย่าง "อีเมล" หรือ "ชื่อผู้ใช้"
  • ให้ login hint: ให้คำแนะนำแก่ผู้ใช้ที่ล็อกอินไม่สำเร็จ
  • รองรับการยืนยันหมายเลขโทรศัพท์ผ่าน SMS gateway อย่าง Twilio: เพิ่มฟีเจอร์เพื่อเสริมความปลอดภัย
  • เพิ่ม SMS OTP เป็นตัวเลือก 2FA: เพิ่มฟีเจอร์เพื่อเสริมความปลอดภัยของผู้ใช้

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
xguru 2024-02-26

ความเห็นจาก Hacker News

  • มีข้อโต้แย้งว่าการใช้การยืนยันตัวตนผ่าน SMS เป็น 2FA (การยืนยันตัวตนสองชั้น) นั้นไม่ปลอดภัยอีกต่อไป

    • ปัจจุบัน SMS ถูกมองว่าเป็น anti-feature และถูกวิจารณ์ว่าเป็นเพียงการย้ายปัญหาไปที่อื่นเท่านั้น
    • มีความเห็นว่าแม้แต่การยืนยันผ่านอีเมลก็ยังดีกว่า SMS แต่ก็ไม่ได้ดีกว่ามากนัก
    • กระเป๋าสตางค์และโทรศัพท์มือถือเป็นสิ่งที่ถูกขโมยบ่อยที่สุด และหลายคนก็ใช้โทรศัพท์ราคาถูกหรือ SIM แบบเติมเงิน
    • การผูกตัวตนของตัวเองเข้ากับหมายเลขโทรศัพท์ที่ควรถูกมองว่าเป็นสิ่งชั่วคราว อาจทำให้เสี่ยงต่อการเข้าใช้งานบัญชีไม่ได้ในอีกหลายปีต่อมา
    • มีหลายเหตุผลที่ผู้คนเปลี่ยนหมายเลขโทรศัพท์ เช่น เปลี่ยนผู้ให้บริการ ใช้ SIM อื่นระหว่างเดินทาง สูญเสียโทรศัพท์ที่บริษัทจัดให้เมื่อเปลี่ยนงาน ผู้ให้บริการปฏิเสธให้นำหมายเลขเดิมกลับมาใช้ หรือหมายเลขไปติดอยู่ในรายชื่อสแปม เป็นต้น

  • มีคำแสดงความยินดีกับการประกาศฟีเจอร์ใหม่ พร้อมทั้งประเมินในเชิงบวกต่อการปฏิบัติกับหมายเลขโทรศัพท์ในฐานะสิ่งที่มีสถานะเป็นพลเมืองชั้นหนึ่ง

    • เป็นความเห็นจากผู้ที่ทำงานอยู่ที่ FusionAuth ซึ่งเป็นคู่แข่ง
    • มีการแนะนำฟีเจอร์ใหม่ที่ใช้เชื่อมบัญชีโซเชียลกับบัญชีเดิมโดยอิงจากการจับคู่อีเมล
    • มีเอกสารสำหรับกรณีการเชื่อมบัญชีโซเชียลเข้ากับบัญชีเดิม และมีคำถามว่ากรณีตรงกันข้ามก็ทำได้หรือไม่
    • มีความสงสัยว่าหากผู้ใช้สมัครด้วย alice@example.com แล้วต้องการเชื่อม alice@gmail.com จะจัดการอย่างไร
    • มีข้อสงสัยว่าสามารถบล็อกการเชื่อมบัญชีเป็นรายผู้ใช้ได้หรือไม่ หรือเป็นฟีเจอร์ที่เปิดใช้งานทั้งระบบเท่านั้น
    • พวกเขามีฟีเจอร์เชื่อมบัญชีมาหลายปีแล้ว และลูกค้าก็เคยหยิบยกเคสขอบเขตลักษณะนี้ขึ้นมา

  • มีฟีดแบ็กเชิงบวกว่าใช้งาน Kratos และ Oathkeeper แบบ self-hosted ในแอป onboarding ที่ออสเตรเลียอยู่ และโดยรวมแล้วทำงานได้ดีเป็นส่วนใหญ่

    • มีการแชร์ประสบการณ์ว่ากระบวนการปรับใช้ UI แบบกำหนดเองนั้นลำบากมาก
    • เริ่มจากโปรเจกต์ตัวอย่างที่ผสม server code กับ CSS ภายใน JS ทำให้เข้าถึง HTML/CSS ได้ยาก
    • มีคำถามว่าโปรเจกต์นี้คืบหน้าไปถึงไหนแล้ว

  • มีการแสดงความกังวลต่อการรองรับ SMS

    • เป็นที่ยอมรับกันอย่างกว้างขวางว่าไม่ควรใช้ข้อความ SMS เพื่อจุดประสงค์ด้านการยืนยันตัวตน
    • มีการชี้ให้เห็น พร้อมลิงก์ต้นฉบับของคำขอฟีเจอร์ ว่าความกังวลของผู้ใช้ @zepatrik ถูกเพิกเฉย

  • มีคำถามขอคำแนะนำเกี่ยวกับโซลูชันที่ดีสำหรับแอปพลิเคชัน B2B SaaS

    • ต้องมีการล็อกอินเข้าแอป และกำลังมองหาวิธีที่สามารถปรับแต่งกฎตามโดเมนอีเมลได้ นอกเหนือจากวิธีทั่วไปอย่างรหัสผ่านหรือโซเชียล
    • มีการแชร์ว่าลองใช้บริการอย่าง Authentik และ FusionAuth แล้ว แต่ไม่เหมาะกับการควบคุมในระดับองค์กร

  • มีความเห็นว่านี่ไม่ใช่ทางเลือกแทน Auth0 โดยตรง แต่เป็นเพียงหนึ่งในคอมโพเนนต์ที่ประกอบกันเป็นทางเลือกแทน Auth0

  • มีการวิจารณ์ว่า Ory Kratos ใช้ Docker container ถึง 7 ตัวในการรัน

    • เมื่อเทียบกับ Keycloak ที่รันได้ด้วยเพียง 2 container ก็ดูหนักเกินไป
    • มีคำถามว่าอะไรคือสิ่งที่ทำให้ความ “ใหญ่เทอะทะ” นี้สมเหตุสมผล

  • มีความกังวลเกี่ยวกับการสมัครสมาชิก การล็อกอิน การเชื่อมบัญชี และการแปลง session cookie ให้เป็น JWT ที่ใช้งานได้ ผ่าน magic link แบบไม่เข้ารหัสที่ส่งทางอีเมลและ SMS

    • มีความเห็นว่าน่าจะมี CVE (ช่องโหว่และการเปิดเผยความปลอดภัยสาธารณะ) เกิดขึ้นภายใน 1 ปี

  • มีการแชร์ประสบการณ์ใช้งานใน production มาเป็นระยะเวลาไม่ถึง 2 ปี

    • มีการปรับปรุงหลายอย่างแล้ว แต่ก็ยังตั้งค่ายาก และมีความเห็นว่า jsonnet ซับซ้อนมาก
    • แม้จะมีการตัดสินใจแปลก ๆ เช่น สามารถเปลี่ยนรหัสผ่านได้โดยไม่ต้องรู้รหัสผ่านปัจจุบัน หากมาจากผู้ให้บริการโซเชียลภายในไม่กี่นาทีหลังล็อกอิน แต่โดยรวมก็ยังเป็นคู่แข่งที่แข็งแกร่งในสายนี้

  • มีความเห็นว่าอยากใช้ Kratos กับโปรเจกต์โอเพนซอร์สของตัวเอง แต่ยังศึกษาไม่มากพอว่ามันรองรับการเพิ่มตัวเลือก storage ที่หลากหลายได้ดีแค่ไหน

    • โปรเจกต์ดังกล่าวรองรับ document store หลายแบบ และแสดงความต้องการที่จะพัฒนางานเพิ่มเติมเพื่อให้ Kratos สามารถ query storage เดียวกันได้