Auth0 के open source विकल्प Ory Kratos में अब Passwordless और SMS सपोर्ट

 (github.com/ory)
14 पॉइंट द्वारा xguru 2024-02-26 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • Ory Kratos v1.1 जारी: एक स्केलेबल और अधिक सुरक्षित open source identity server

नई सुविधाएँ और सुधार

  • मोबाइल फोन वेरिफिकेशन और SMS के जरिए 2-step authentication (2FA): Twilio जैसे SMS gateway के साथ आसानी से इंटीग्रेट होकर सुरक्षा को मजबूत करता है
  • अनुवाद और internationalization सपोर्ट: कई भाषाओं का समर्थन, जिससे दुनिया भर के users के लिए accessibility बढ़ती है
  • Google और Apple के साथ native login सपोर्ट: मोबाइल platforms पर "Google से लॉगिन" और "Apple से लॉगिन" का native सपोर्ट
  • Account linking: एक ही email साझा करने वाले social accounts से लॉगिन करते समय account linking को आसान बनाने वाली नई सुविधा
  • Passwordless "magic code" login: email के जरिए one-time code भेजकर लॉगिन करने का तरीका, जो password भूल जाने या social login उपलब्ध न होने पर वैकल्पिक लॉगिन method के रूप में उपयोगी है
  • Session को JWT में बदलना: Ory session cookie या token को JSON Web Token (JWT) में बदलकर session management और दूसरे systems के साथ integration को अधिक लचीला बनाता है
  • Email delivery की reliability में सुधार: अलग-अलग providers के जरिए email भेजने की विश्वसनीयता बेहतर हुई
  • HTTP API और संबंधित SDK methods में सुधार: API call performance बेहतर और usability-friendly सुधार
  • Keyset pagination की शुरुआत: identity list performance बेहतर करने के लिए keyset pagination जोड़ा गया
  • Passkeys और WebAuthn के लिए multi-origin सपोर्ट: subdomain के साथ काम करते समय उपयोगी
  • Logout flow में सुधार: API call के दौरान सेट किए गए return_to parameter पर user को redirect करता है
  • Settings update के समय password confirmation की गलत requirement वाली समस्या ठीक: users के settings update करते समय गलत password confirmation मांगने की समस्या का समाधान
  • मौजूदा account से sign-up करने पर login hint: पहले से मौजूद account के साथ sign-up करने की कोशिश करने वाले users को उसी account से लॉगिन करने के लिए hint दिया जाता है
  • CORS configuration के hot reload का सपोर्ट: CORS config बदलने पर server restart के बिना लागू किया जा सकता है
  • Ory OAuth2 / Ory Hydra के साथ integration में सुधार: logout, login session management, verification और recovery flow बेहतर हुए
  • नई Passwordless login method "magic code" जोड़ी गई: email के जरिए one-time code भेजकर लॉगिन और sign-up किया जा सकता है
  • Social login integration में सुधार: social login providers से verified email status का उपयोग किया जा सकता है
  • Ory Elements और डिफ़ॉल्ट Ory Account Experience का internationalization: translation के जरिए internationalization सपोर्ट
  • Ory session cookie या token को JWT में बदला जा सकता है: session management और दूसरे systems के साथ integration के लिए नई क्षमता
  • Native apps में recovery functionality में सुधार: users अब browser पर स्विच किए बिना recovery steps पूरा कर सकते हैं
  • Admin के लिए identifier से user fuzzy search की सुविधा: अभी preview stage में
  • HMAC-hashed passwords import किए जा सकते हैं: सुरक्षा मजबूत करने के लिए नई क्षमता
  • Webhook के जरिए identity admin metadata update सपोर्ट: admin functionality में सुधार
  • Password बदलने पर user की सभी sessions revoke करने की सुविधा: सुरक्षा बढ़ाने के लिए नई क्षमता
  • Login, registration और login methods के लिए webhook सपोर्ट: Passkeys, TOTP आदि सहित सभी login methods के लिए webhook सपोर्ट
  • Login screen पर "ID" की जगह सही label दिखाना: उदाहरण के लिए identifier schema से "email" या "username" जैसे labels निकालता है
  • Login hint प्रदान करना: लॉगिन में असफल users को guidance देता है
  • Twilio जैसे SMS gateway के जरिए phone number verification सपोर्ट: सुरक्षा मजबूत करने के लिए नई क्षमता
  • SMS OTP को 2-step authentication विकल्प के रूप में जोड़ा गया: user security बढ़ाने के लिए नई क्षमता

संबंधित पढ़ाई

2 टिप्पणियां

 
xguru 2024-02-26

Hacker News की राय

  • यह दावा कि 2FA (दो-स्तरीय प्रमाणीकरण) के लिए SMS verification का इस्तेमाल अब सुरक्षित नहीं रहा

    • अब SMS को anti-feature माना जाता है। आलोचना यह है कि यह बस समस्या को एक जगह से दूसरी जगह ले जाता है।
    • कुछ लोगों की राय है कि email verification भी SMS से बेहतर है, लेकिन वह भी बहुत बेहतर नहीं है।
    • वॉलेट और मोबाइल फोन सबसे ज़्यादा चोरी होने वाली चीज़ों में हैं, और बहुत से लोग सस्ते फोन या prepaid SIM इस्तेमाल करते हैं।
    • अपनी पहचान को ऐसे फोन नंबर से बाँधना, जिसे अस्थायी माना जाना चाहिए, कुछ साल बाद खाते तक पहुँच खोने का जोखिम पैदा करता है।
    • लोग कई कारणों से फोन नंबर बदलते हैं: service provider बदलना, यात्रा के दौरान दूसरी SIM इस्तेमाल करना, नौकरी बदलने पर कंपनी का दिया फोन खोना, operator द्वारा पुराना नंबर वापस लेने से इनकार, नंबर का spam सूची में आ जाना आदि।

  • नई फीचर घोषणा पर बधाई के साथ, फोन नंबर को first-class citizen की तरह ट्रीट करने की सकारात्मक सराहना।

    • यह राय प्रतिद्वंद्वी FusionAuth में काम करने वाले एक व्यक्ति की ओर से आई।
    • email matching के आधार पर social accounts और मौजूदा accounts के बीच linking को नई सुविधा के रूप में पेश किया गया।
    • मौजूदा account से social account जोड़ने वाले scenario पर documentation मौजूद है, और पूछा गया कि क्या इसका उलटा भी संभव है।
    • अगर कोई user alice@example.com से साइन अप करने के बाद alice@gmail.com को लिंक करना चाहता है, तो इसे कैसे संभाला जाता है—इस पर जिज्ञासा।
    • क्या account linking को per-user आधार पर block किया जा सकता है, या यह पूरे system में enable हो जाता है—इस पर सवाल।
    • कहा गया कि उनके पास कई सालों से account linking फीचर है, और ग्राहकों ने ऐसे edge cases उठाए हैं।

  • सकारात्मक फीडबैक कि Kratos और Oathkeeper को ऑस्ट्रेलिया के एक onboarding app में self-host करके इस्तेमाल किया जा रहा है और ज़्यादातर चीज़ें अच्छी तरह काम करती हैं।

    • custom UI लागू करने की प्रक्रिया बहुत कठिन रही—ऐसा अनुभव साझा किया गया।
    • server code और JS के अंदर CSS मिले-जुले example project से शुरुआत होने के कारण HTML/CSS तक पहुँचना मुश्किल था।
    • इस प्रोजेक्ट की प्रगति के बारे में सवाल किया गया।

  • SMS support को लेकर चिंता जताई गई।

    • व्यापक रूप से माना जाता है कि authentication के लिए SMS text messages का उपयोग नहीं होना चाहिए।
    • feature request के मूल लिंक के साथ यह भी कहा गया कि user @zepatrik की चिंताओं को नज़रअंदाज़ किया गया।

  • B2B SaaS applications के लिए अच्छे समाधान पर सलाह माँगने वाला सवाल।

    • app login की ज़रूरत है, और password, social जैसे सामान्य तरीकों के अलावा email domain के हिसाब से rules को customize करने का तरीका खोजा जा रहा है।
    • Authentik और FusionAuth जैसी सेवाएँ आज़माने का अनुभव साझा किया गया, लेकिन वे organization-स्तर के control के लिए उपयुक्त नहीं लगीं।

  • यह राय कि यह Auth0 का सीधा विकल्प कम, और Auth0 के विकल्प को बनाने वाले components में से एक ज़्यादा है।

  • Ory Kratos के चलने के लिए 7 Docker containers इस्तेमाल करने पर आलोचना।

    • केवल 2 containers में चलने वाले Keycloak की तुलना में यह भारी लगता है।
    • सवाल उठाया गया कि इस तरह की 'bulk' को आखिर क्या जायज़ ठहराता है।

  • email और SMS से भेजे जाने वाले unencrypted magic links के ज़रिए signup, login, account linking, और session cookies को valid JWT में बदलने को लेकर चिंता।

    • राय दी गई कि एक साल के भीतर CVE (Common Vulnerabilities and Exposures) आने की संभावना है।

  • दो साल से कम समय तक production environment में इस्तेमाल करने का अनुभव साझा किया गया।

    • कहा गया कि कई सुधार हुए हैं, लेकिन setup अब भी कठिन है और jsonnet बहुत जटिल है।
    • कुछ अजीब फैसले भी हैं, जैसे login के कुछ मिनटों के भीतर social provider से आने पर user मौजूदा password जाने बिना भी password बदल सकता है, लेकिन कुल मिलाकर यह इस क्षेत्र का मज़बूत दावेदार है।

  • यह राय कि वे Kratos को अपने open source project में इस्तेमाल करना चाहते थे, लेकिन अलग-अलग storage options जोड़ने के लिए यह कितना अच्छा support देता है—इस पर पर्याप्त शोध नहीं था।

    • कहा गया कि उनका project कई document stores को support करता है, और वे development work करके चाहते हैं कि Kratos भी उसी store को query कर सके।