Giải pháp thay thế mã nguồn mở cho Auth0 là Ory Kratos nay hỗ trợ Passwordless và SMS

 (github.com/ory)
14 điểm bởi xguru 2024-02-26 | 2 bình luận | Chia sẻ qua WhatsApp
  • Phát hành Ory Kratos v1.1: máy chủ định danh mã nguồn mở có khả năng mở rộng và bảo mật được tăng cường

Tính năng mới và các cải tiến

  • Xác thực điện thoại & xác thực hai yếu tố (2FA) qua SMS: Dễ dàng tích hợp với các cổng SMS như Twilio để tăng cường bảo mật
  • Hỗ trợ dịch thuật và quốc tế hóa: Hỗ trợ nhiều ngôn ngữ để tăng khả năng tiếp cận cho người dùng trên toàn thế giới
  • Hỗ trợ đăng nhập native với Google và Apple: Hỗ trợ native cho "Đăng nhập bằng Google" và "Đăng nhập bằng Apple" trên nền tảng di động
  • Liên kết tài khoản: Bổ sung tính năng mới giúp việc liên kết tài khoản dễ dàng hơn khi đăng nhập bằng các tài khoản mạng xã hội dùng chung một email
  • Đăng nhập "magic code" không mật khẩu: Gửi mã dùng một lần qua email để đăng nhập, có thể dùng làm phương thức thay thế khi quên mật khẩu hoặc không thể dùng đăng nhập mạng xã hội
  • Chuyển đổi session sang JWT: Chuyển cookie hoặc token session của Ory thành JSON Web Token (JWT), giúp quản lý session linh hoạt hơn và dễ tích hợp với các hệ thống khác
  • Cải thiện độ tin cậy khi gửi email: Nâng cao độ tin cậy gửi email thông qua nhiều nhà cung cấp khác nhau
  • Cải thiện HTTP API và các phương thức SDK liên quan: Tăng hiệu năng gọi API và cải thiện tính thân thiện với người dùng
  • Bổ sung keyset pagination: Áp dụng keyset pagination để cải thiện hiệu năng danh sách định danh
  • Hỗ trợ đa nguồn cho Passkeys và WebAuthn: Hữu ích khi làm việc với subdomain
  • Cải thiện luồng đăng xuất: Chuyển hướng người dùng tới tham số return_to đã được cấu hình khi gọi API
  • Sửa lỗi yêu cầu xác nhận mật khẩu khi cập nhật cài đặt: Khắc phục vấn đề yêu cầu xác nhận mật khẩu không chính xác khi người dùng cập nhật cài đặt
  • Cung cấp gợi ý đăng nhập khi đăng ký bằng tài khoản đã tồn tại: Đưa ra gợi ý giúp người dùng đăng nhập bằng tài khoản hiện có nếu họ cố đăng ký lại
  • Hỗ trợ hot reload cho cấu hình CORS: Có thể áp dụng thay đổi cấu hình CORS mà không cần khởi động lại máy chủ
  • Cải thiện tích hợp với Ory OAuth2 / Ory Hydra: Cải thiện luồng đăng xuất, quản lý session đăng nhập, xác minh và khôi phục
  • Bổ sung phương thức đăng nhập không mật khẩu mới "magic code": Có thể đăng nhập và đăng ký bằng cách gửi mã dùng một lần qua email
  • Cải thiện tích hợp đăng nhập mạng xã hội: Có thể sử dụng trạng thái email đã được xác minh từ các nhà cung cấp đăng nhập mạng xã hội
  • Quốc tế hóa Ory Elements và trải nghiệm tài khoản Ory mặc định: Hỗ trợ quốc tế hóa thông qua dịch thuật
  • Có thể chuyển cookie hoặc token session của Ory sang JWT: Bổ sung tính năng phục vụ quản lý session và tích hợp với các hệ thống khác
  • Cải thiện tính năng khôi phục trên ứng dụng native: Giúp người dùng hoàn tất các bước khôi phục mà không cần chuyển sang trình duyệt
  • Bổ sung khả năng để quản trị viên tìm kiếm mờ người dùng theo định danh: Hiện vẫn ở giai đoạn preview
  • Có thể import mật khẩu được băm bằng HMAC: Bổ sung tính năng nhằm tăng cường bảo mật
  • Hỗ trợ cập nhật metadata quản trị danh tính qua webhook: Cải thiện chức năng quản trị
  • Bổ sung khả năng hủy mọi session của người dùng khi đổi mật khẩu: Bổ sung tính năng nhằm tăng cường bảo mật
  • Hỗ trợ webhook cho đăng nhập, đăng ký và các phương thức đăng nhập: Hỗ trợ webhook cho mọi phương thức đăng nhập, bao gồm Passkeys, TOTP, v.v.
  • Hiển thị nhãn đúng thay vì "ID" trên màn hình đăng nhập: Ví dụ lấy từ schema định danh như "email" hoặc "tên người dùng"
  • Cung cấp gợi ý đăng nhập: Hướng dẫn cho người dùng khi đăng nhập thất bại
  • Hỗ trợ xác thực số điện thoại qua các cổng SMS như Twilio: Bổ sung tính năng nhằm tăng cường bảo mật
  • Bổ sung SMS OTP như một tùy chọn xác thực hai yếu tố: Bổ sung tính năng nhằm tăng cường bảo mật cho người dùng

Bài viết liên quan

2 bình luận

 
xguru 2024-02-26

Ý kiến Hacker News

  • Có ý kiến cho rằng việc dùng xác thực SMS như 2FA (xác thực hai yếu tố) không còn an toàn nữa.

    • SMS hiện bị xem là một anti-feature. Có chỉ trích rằng nó chỉ đơn thuần chuyển vấn đề từ chỗ này sang chỗ khác.
    • Cũng có ý kiến cho rằng ngay cả xác thực qua email còn tốt hơn SMS, nhưng thực ra cũng không khá hơn bao nhiêu.
    • Ví và điện thoại là những món đồ bị đánh cắp thường xuyên nhất, và nhiều người dùng điện thoại giá rẻ hoặc SIM trả trước.
    • Việc gắn danh tính của mình với một số điện thoại vốn nên được xem là tạm thời có thể dẫn đến rủi ro không truy cập được tài khoản sau vài năm.
    • Có nhiều lý do khiến mọi người đổi số điện thoại: đổi nhà mạng, dùng SIM khác khi đi du lịch, mất điện thoại do công ty cấp khi đổi việc, nhà mạng từ chối cấp lại số cũ, hoặc số bị đưa vào danh sách spam.

  • Có lời chúc mừng cho việc ra mắt tính năng mới, đồng thời đánh giá tích cực việc coi số điện thoại như công dân hạng nhất.

    • Đây là ý kiến từ một người làm việc tại đối thủ cạnh tranh FusionAuth.
    • Việc liên kết giữa tài khoản mạng xã hội và tài khoản hiện có dựa trên đối sánh email được giới thiệu như một tính năng mới.
    • Có tài liệu về kịch bản liên kết tài khoản mạng xã hội vào tài khoản hiện có, và có câu hỏi liệu chiều ngược lại cũng có thể làm được không.
    • Có thắc mắc về cách xử lý trường hợp người dùng đăng ký bằng alice@example.com rồi muốn liên kết thêm alice@gmail.com.
    • Cũng có câu hỏi liệu có thể chặn liên kết tài khoản theo từng người dùng hay không, hay tính năng này chỉ có thể bật trên toàn hệ thống.
    • Họ cho biết đã có tính năng liên kết tài khoản từ vài năm trước và khách hàng từng nêu ra các trường hợp biên như vậy.

  • Có phản hồi tích cực từ người đang tự host Kratos và Oathkeeper cho một ứng dụng onboarding tại Úc, cho biết nhìn chung mọi thứ hoạt động tốt.

    • Họ chia sẻ rằng quá trình áp dụng UI tùy chỉnh rất vất vả.
    • Bắt đầu từ một dự án ví dụ trộn lẫn mã server với CSS trong JS khiến việc tiếp cận HTML/CSS trở nên khó khăn.
    • Có câu hỏi về tiến triển của dự án này.

  • Có ý kiến bày tỏ lo ngại về hỗ trợ SMS.

    • Việc dùng tin nhắn SMS cho mục đích xác thực được công nhận rộng rãi là không nên.
    • Kèm theo liên kết gốc tới yêu cầu tính năng, có chỉ ra rằng lo ngại của người dùng @zepatrik đã bị phớt lờ.

  • Có câu hỏi xin lời khuyên về một giải pháp tốt cho ứng dụng B2B SaaS.

    • Họ cần đăng nhập cho ứng dụng, và ngoài các cách thông thường như mật khẩu, mạng xã hội, còn muốn có cách tùy chỉnh quy tắc theo từng domain email.
    • Họ chia sẻ đã thử các dịch vụ như Authentik và FusionAuth nhưng thấy không phù hợp để kiểm soát theo từng tổ chức.

  • Có ý kiến cho rằng đây không hẳn là giải pháp thay thế Auth0, mà là một trong các thành phần cấu thành một giải pháp thay thế Auth0.

  • Có chỉ trích việc Ory Kratos dùng 7 container Docker để chạy.

    • So với Keycloak chỉ chạy bằng 2 container thì trông khá nặng nề.
    • Có câu hỏi điều gì biện minh cho mức độ “cồng kềnh” này.

  • Có lo ngại về việc đăng ký, đăng nhập, liên kết tài khoản qua magic link không mã hóa được gửi bằng email và SMS, cũng như việc chuyển session cookie thành JWT hợp lệ.

    • Có ý kiến cho rằng trong vòng 1 năm sẽ xuất hiện CVE (lỗ hổng và phơi bày phổ biến).

  • Có chia sẻ kinh nghiệm đã dùng trong môi trường production chưa đến 2 năm.

    • Họ cho rằng đã có nhiều cải thiện, nhưng việc cấu hình vẫn khó và jsonnet rất phức tạp.
    • Dù có những quyết định kỳ lạ như cho phép đổi mật khẩu mà không cần biết mật khẩu hiện tại nếu vừa quay lại từ nhà cung cấp social trong vòng vài phút sau khi đăng nhập, nhìn chung đây vẫn là một đối thủ mạnh trong lĩnh vực này.

  • Có ý kiến nói rằng họ từng muốn dùng Kratos cho dự án mã nguồn mở của mình, nhưng chưa nghiên cứu đủ xem nó hỗ trợ tốt đến mức nào cho việc bổ sung nhiều tùy chọn lưu trữ khác nhau.

    • Dự án của họ hỗ trợ nhiều document store khác nhau, và họ bày tỏ mong muốn thực hiện phần phát triển để Kratos có thể truy vấn cùng kho lưu trữ đó.