Características

Todo lo que necesitas para tu infraestructura de identidad

Una plataforma de autenticación completa. Protocolos conformes a la especificación, multi-tenancy real, seguridad reforzada y una experiencia de desarrollo que respeta tu tiempo.

Autenticación y protocolos

Autenticación basada en estándares que encaja en cualquier cliente.

OAuth 2.0 y OpenID Connect

Authorization Code con PKCE, Client Credentials, rotación de tokens, introspección, revocación y OIDC Discovery. Conforme a la especificación, así que cualquier librería cliente de OIDC funciona sin configuración adicional.

Inicio de sesión sin contraseña

Inicio de sesión con magic-link y Email OTP, con tokens de un solo uso de 15 minutos y vinculación al mismo dispositivo. A salvo de la enumeración de usuarios. Los workspaces pueden funcionar completamente sin contraseña.

Autenticación multifactor

MFA basado en TOTP con detección de repetición y protección por bloqueo. Se aplica por workspace y se mantiene en cada flujo sin contraseña.

Multi-tenancy y acceso

Una instancia, muchos productos, totalmente aislados.

Workspaces aislados

Directorios de usuarios separados, pares de claves RS256 por tenant con rotación iniciada por el administrador, APIs enrutadas por slug y políticas de seguridad independientes.

RBAC y grupos

Roles con herencia compuesta, pertenencia a grupos y roles predeterminados por cliente. Control de acceso granular sin servicios externos que mantener.

Claims JWT personalizados

Proyecta atributos de usuario en los tokens con claim mappers. Define el JWT exacto que recibe cada aplicación, sin escribir código.

Reforzado por defecto

Seguridad y cumplimiento

Los controles que preguntan los auditores, integrados desde el primer día.

Cifrado en reposo

Secretos sellados con AES-256-GCM. Las copias de seguridad derivan claves con PBKDF2 a 600k iteraciones antes de cifrarse.

Verificación de contraseñas filtradas

La k-anonymity de HIBP bloquea contraseñas comprometidas conocidas en el registro y el restablecimiento, sin exponer la contraseña.

Protección de cuentas

Bloqueo de cuentas, detección de repetición de refresh-tokens con revocación de familia y SSO silencioso con prompt=none.

Registro de auditoría inmutable

Más de 65 tipos de eventos en un registro de solo anexado. Consulta por actor, acción o momento desde la API o tu asistente de IA.

Experiencia de desarrollo

Una superficie consistente que premia leer la documentación una sola vez.

Una API REST consistente

La misma forma en cada recurso, con claves de API con alcance por workspace y errores conformes a RFC. Las claves se leen como Bearer kauth_{slug}_{key}.

OpenAPI y CLI integrada

Swagger UI incluido y cinco herramientas de CLI integradas. Todo está documentado y todo es automatizable mediante scripts.

Endpoints enrutados por workspace

Enrutamiento predecible en /t/{slug}/api/v1. Una instancia sirve a cada tenant sin ambigüedad sobre con quién estás hablando.

Despliegue y operaciones

Aburrido de operar, que es exactamente lo que quieres de la autenticación.

Nativo de Docker

Una imagen de ~120 MB en GHCR. Se ejecuta sin root como UID 10001, con sistema de archivos de solo lectura y no-new-privileges. Un quickstart de un solo comando y las migraciones automáticas de Flyway se encargan del resto. Totalmente apto para entornos air-gapped.

Copia de seguridad y restauración

Instantáneas de tenant portátiles y cifradas mediante la CLI o la API de administración, con validación de la versión del esquema al importar.

Listo para escalar horizontalmente

Sesiones distribuidas respaldadas por Redis y soporte para usar tu propia base de datos en despliegues de producción.

Míralo todo funcionando en vivo

Explora una instancia con datos de ejemplo o despliega la tuya en menos de un minuto.