AI News HubLIVE
站内改写2 分钟阅读

为智能体和自主AI设计的身份层:AuthSec

AuthSec是一个统一的Go服务,提供完整的身份生命周期管理,包括认证、MFA、OIDC联合、RBAC、SCIM、客户端管理、外部服务凭证和SPIFFE/SPIRE工作负载身份,所有功能都集成在一个单一的二进制文件中。

来源Hacker News AI作者: azifali

AuthSec是一个开源的统一身份管理服务,专为智能体和自主AI系统设计,用Go语言编写。它提供了一套完整的身份生命周期管理功能,包括认证、多因素认证(MFA)、OpenID Connect(OIDC)联合、基于角色的访问控制(RBAC)、跨域身份管理系统(SCIM)、客户端生命周期管理、外部服务凭证存储以及SPIFFE/SPIRE工作负载身份,所有这些都集成在一个单一的二进制文件中。

AuthSec的架构基于模块化设计,每个模块都有独立的子路由前缀。核心模块包括:认证与用户流(/authsec/uflow),处理管理员和终端用户的登录、注册、密码重置、OIDC联合、SCIM、TOTP、CIBA和语音认证;WebAuthn/Passkeys(/authsec/webauthn),支持FIDO2通行密钥、TOTP设置和SMS MFA;客户端管理(/authsec/clientms),管理Ory Hydra客户端的生命周期;Hydra管理器(/authsec/hmgr),处理Ory Hydra登录/同意、SAML SSO和令牌交换;OIDC配置管理器(/authsec/oocmgr),管理OIDC提供商配置和Hydra客户端同步;认证管理器(/authsec/authmgr),负责JWT验证/签发、RBAC权限检查和群组管理;外部服务(/authsec/exsvc),提供Vault支持的凭证存储;SPIRE Headless(/authsec/spire),实现SPIFFE/SPIRE工作负载身份、OIDC令牌交换、云联合(AWS/Azure/GCP)和RBAC/ABAC策略引擎;以及迁移管理(/authsec/migration),处理数据库迁移。

部署AuthSec需要Go 1.25+、PostgreSQL 15+,并可选的HashiCorp Vault、Redis和mt-plugin(用于多租户模式)。服务默认监听7468端口。环境变量配置灵活,支持数据库连接、WebAuthn设置、JWT密钥、CORS、加密密钥、Twilio集成(SMS MFA/语音)、外部集成(Vault、Hydra、SMTP、OIDC提供商)、SPIFFE OIDC配置和Okta CIBA等。

AuthSec默认运行在单租户模式,所有操作使用主PostgreSQL数据库。要启用多租户,需要运行mt-plugin gRPC微服务并设置MT_PLUGIN_GRPC_ADDR环境变量。服务还提供了丰富的API路由,包括健康检查、管理员和终端用户认证、设备授权授权(RFC 8628)、语音认证、TOTP、CIBA等。此外,支持OIDC发现(/.well-known/*)和Prometheus指标(/metrics)。

对于智能体和自主AI系统,AuthSec提供了强大的身份层,支持工作负载身份(SPIFFE/SPIRE)和云联合,使AI代理能够安全地访问资源并与其他系统交互。该项目在GitHub上开源,采用MIT许可证,社区贡献活跃。