Recursos

Tudo o que você precisa para sua infraestrutura de identidade

Uma plataforma de autenticação completa. Protocolos compatíveis com a especificação, multi-tenancy de verdade, segurança reforçada e uma experiência de desenvolvedor que respeita o seu tempo.

Autenticação e protocolos

Autenticação baseada em padrões que se encaixa em qualquer cliente.

OAuth 2.0 e OpenID Connect

Authorization Code com PKCE, Client Credentials, rotação de tokens, introspecção, revogação e OIDC Discovery. Compatível com a especificação, então qualquer biblioteca cliente OIDC funciona sem ajustes.

Login sem senha

Login com magic-link e Email OTP, com tokens de uso único de 15 minutos e vínculo ao mesmo dispositivo. Seguro contra enumeração de usuários. Workspaces podem ser totalmente sem senha.

Autenticação multifator

MFA baseado em TOTP com detecção de replay e proteção contra bloqueio. Aplicado por workspace e preservado em todos os fluxos sem senha.

Multi-tenancy e acesso

Uma instância, muitos produtos, totalmente isolados.

Workspaces isolados

Diretórios de usuários separados, pares de chaves RS256 por tenant com rotação iniciada pelo admin, APIs roteadas por slug e políticas de segurança independentes.

RBAC e grupos

Papéis com herança composta, participação em grupos e papéis padrão do cliente. Controle de acesso granular sem nenhum serviço externo para rodar.

JWT claims personalizados

Projete atributos de usuário nos tokens com claim mappers. Modele o JWT exato que cada aplicação recebe, sem precisar de código.

Reforçado por padrão

Segurança e conformidade

Os controles que os auditores pedem, integrados desde o primeiro dia.

Criptografado em repouso

Segredos selados com AES-256-GCM. Backups derivam chaves com PBKDF2 em 600k iterações antes da criptografia.

Verificação de senhas vazadas

O k-anonymity do HIBP bloqueia senhas comprovadamente comprometidas no cadastro e na redefinição, sem vazar a senha.

Proteção de conta

Bloqueio de conta, detecção de replay de refresh-token com revogação por família e SSO silencioso com prompt=none.

Trilha de auditoria imutável

Mais de 65 tipos de evento em um log append-only. Consulte por ator, ação ou tempo a partir da API ou do seu assistente de IA.

Experiência do desenvolvedor

Uma superfície consistente que recompensa quem lê a documentação uma vez.

Uma API REST consistente

O mesmo formato em todos os recursos, com chaves de API com escopo por workspace e erros compatíveis com RFC. As chaves são lidas como Bearer kauth_{slug}_{key}.

OpenAPI e CLI integrada

Swagger UI embutido e cinco ferramentas de CLI integradas. Tudo é documentado e tudo é automatizável por script.

Endpoints roteados por workspace

Roteamento previsível em /t/{slug}/api/v1. Uma instância atende todos os tenants sem ambiguidade sobre com quem você está falando.

Deploy e operações

Sem surpresas para operar, que é exatamente o que você quer da autenticação.

Nativo de Docker

Uma imagem de ~120 MB no GHCR. Roda sem root como UID 10001, filesystem somente leitura, no-new-privileges. Início rápido com um comando e migrações automáticas do Flyway cuidam do resto. Totalmente capaz de operar air-gapped.

Backup e restauração

Snapshots de tenant portáteis e criptografados via CLI ou API de administração, com validação de versão de schema na importação.

Pronto para escalar horizontalmente

Sessões distribuídas com Redis e suporte para usar seu próprio banco de dados em deploys de produção.

Veja tudo funcionando ao vivo

Explore uma instância com dados pré-carregados ou faça o deploy da sua em menos de um minuto.