Tudo o que você precisa para sua infraestrutura de identidade
Uma plataforma de autenticação completa. Protocolos compatíveis com a especificação, multi-tenancy de verdade, segurança reforçada e uma experiência de desenvolvedor que respeita o seu tempo.
Autenticação e protocolos
Autenticação baseada em padrões que se encaixa em qualquer cliente.
OAuth 2.0 e OpenID Connect
Authorization Code com PKCE, Client Credentials, rotação de tokens, introspecção, revogação e OIDC Discovery. Compatível com a especificação, então qualquer biblioteca cliente OIDC funciona sem ajustes.
Login sem senha
Login com magic-link e Email OTP, com tokens de uso único de 15 minutos e vínculo ao mesmo dispositivo. Seguro contra enumeração de usuários. Workspaces podem ser totalmente sem senha.
Autenticação multifator
MFA baseado em TOTP com detecção de replay e proteção contra bloqueio. Aplicado por workspace e preservado em todos os fluxos sem senha.
Multi-tenancy e acesso
Uma instância, muitos produtos, totalmente isolados.
Workspaces isolados
Diretórios de usuários separados, pares de chaves RS256 por tenant com rotação iniciada pelo admin, APIs roteadas por slug e políticas de segurança independentes.
RBAC e grupos
Papéis com herança composta, participação em grupos e papéis padrão do cliente. Controle de acesso granular sem nenhum serviço externo para rodar.
JWT claims personalizados
Projete atributos de usuário nos tokens com claim mappers. Modele o JWT exato que cada aplicação recebe, sem precisar de código.
Segurança e conformidade
Os controles que os auditores pedem, integrados desde o primeiro dia.
Criptografado em repouso
Segredos selados com AES-256-GCM. Backups derivam chaves com PBKDF2 em 600k iterações antes da criptografia.
Verificação de senhas vazadas
O k-anonymity do HIBP bloqueia senhas comprovadamente comprometidas no cadastro e na redefinição, sem vazar a senha.
Proteção de conta
Bloqueio de conta, detecção de replay de refresh-token com revogação por família e SSO silencioso com prompt=none.
Trilha de auditoria imutável
Mais de 65 tipos de evento em um log append-only. Consulte por ator, ação ou tempo a partir da API ou do seu assistente de IA.
Experiência do desenvolvedor
Uma superfície consistente que recompensa quem lê a documentação uma vez.
Uma API REST consistente
O mesmo formato em todos os recursos, com chaves de API com escopo por workspace e erros compatíveis com RFC. As chaves são lidas como Bearer kauth_{slug}_{key}.
OpenAPI e CLI integrada
Swagger UI embutido e cinco ferramentas de CLI integradas. Tudo é documentado e tudo é automatizável por script.
Endpoints roteados por workspace
Roteamento previsível em /t/{slug}/api/v1. Uma instância atende todos os tenants sem ambiguidade sobre com quem você está falando.
Deploy e operações
Sem surpresas para operar, que é exatamente o que você quer da autenticação.
Nativo de Docker
Uma imagem de ~120 MB no GHCR. Roda sem root como UID 10001, filesystem somente leitura, no-new-privileges. Início rápido com um comando e migrações automáticas do Flyway cuidam do resto. Totalmente capaz de operar air-gapped.
Backup e restauração
Snapshots de tenant portáteis e criptografados via CLI ou API de administração, com validação de versão de schema na importação.
Pronto para escalar horizontalmente
Sessões distribuídas com Redis e suporte para usar seu próprio banco de dados em deploys de produção.
Veja tudo funcionando ao vivo
Explore uma instância com dados pré-carregados ou faça o deploy da sua em menos de um minuto.