auth.md — giao thức mở để agent đăng ký thay người dùng

xguru · 2026-06-26T09:31:02+09:00

Chuẩn tệp auth.md được mỗi dịch vụ lưu trữ ở gốc domain của mình Cho agent biết cách đăng ký thay mặt người dùng, để agent có thể đăng ký người dùng mà không cần biểu mẫu đăng ký riêng Tệp bao gồm các flow được hỗ trợ, các scope hiện có và cách đăng ký vào dịch vụ Gồm ba chủ thể agent: thực thể hoạt động thay mặt người dùng agent provider: IdP phát hành assertion danh tính ID-JAG service: thực thể chấp nhận assertion và phát hành thông tin xác thực Agent tải auth.md, chọn flow được hỗ trợ, rồi hoặc trình bày verified identity assertion, hoặc thực hiện code verification claim cho người dùng Về mặt marketing được giới thiệu là hai cách đăng ký, nhưng ở mức triển khai thực tế có ba cách, gồm cả anonymous Agent verified: IdP của agent bảo chứng người dùng, không cần con người can thiệp User claimed: không cần provider, người dùng đăng nhập rồi xác nhận mã do agent hiển thị. Sử dụng RFC 8628 style claim ceremony (kiểu device flow) Anonymous Registration: agent trước tiên hoạt động với pre-claim scope, sau đó khi người dùng xác nhận quyền sở hữu thì được nâng cấp lên post-claim token Hầu hết ứng dụng hỗ trợ cả hai cách, agent sẽ chọn tùy tình huống Agent được cấp scoped access token gắn với người dùng, có thời hạn ngắn và có thể thu hồi Được phát hành trên chuẩn OAuth nên có thể tái sử dụng nguyên hệ thống xác thực API hiện có Phát hành ID-JAG → đổi sang access_token bằng RFC 7523 JWT-bearer grant, hoạt động thông qua discovery /.well-known/oauth-authorization-server Do WorkOS xây dựng nhưng là giao thức mở không phụ thuộc hạ tầng WorkOS Kết hợp các chuẩn OAuth hiện có (Protected Resource Metadata, ID-JAG) để có thể đăng và đọc mà không cần tài khoản Ứng dụng/dịch vụ có thể tự kiểm soát flow nào sẽ chấp nhận và loại thông tin xác thực nào sẽ phát hành Không chỉ có đặc tả mà còn cung cấp mẫu triển khai cho cả agent provider và service, cùng tệp AUTH.md đóng vai trò như skill manifest để có thể chạy thử thực tế Nhiều dịch vụ như Cloudflare, Firecrawl, Resend, monday.com đã triển khai Giấy phép MIT

(workos.com)

6 điểm bởi xguru 5 giờ trước | 2 bình luận | Chia sẻ qua WhatsApp

Chuẩn tệp auth.md được mỗi dịch vụ lưu trữ ở gốc domain của mình
Cho agent biết cách đăng ký thay mặt người dùng, để agent có thể đăng ký người dùng mà không cần biểu mẫu đăng ký riêng
Tệp bao gồm các flow được hỗ trợ, các scope hiện có và cách đăng ký vào dịch vụ
Gồm ba chủ thể
- agent: thực thể hoạt động thay mặt người dùng
- agent provider: IdP phát hành assertion danh tính ID-JAG
- service: thực thể chấp nhận assertion và phát hành thông tin xác thực
Agent tải auth.md, chọn flow được hỗ trợ, rồi hoặc trình bày verified identity assertion, hoặc thực hiện code verification claim cho người dùng
Về mặt marketing được giới thiệu là hai cách đăng ký, nhưng ở mức triển khai thực tế có ba cách, gồm cả anonymous
- Agent verified: IdP của agent bảo chứng người dùng, không cần con người can thiệp
- User claimed: không cần provider, người dùng đăng nhập rồi xác nhận mã do agent hiển thị. Sử dụng RFC 8628 style claim ceremony (kiểu device flow)
- Anonymous Registration: agent trước tiên hoạt động với pre-claim scope, sau đó khi người dùng xác nhận quyền sở hữu thì được nâng cấp lên post-claim token
- Hầu hết ứng dụng hỗ trợ cả hai cách, agent sẽ chọn tùy tình huống
Agent được cấp scoped access token gắn với người dùng, có thời hạn ngắn và có thể thu hồi
Được phát hành trên chuẩn OAuth nên có thể tái sử dụng nguyên hệ thống xác thực API hiện có
- Phát hành ID-JAG → đổi sang access_token bằng RFC 7523 JWT-bearer grant, hoạt động thông qua discovery /.well-known/oauth-authorization-server
Do WorkOS xây dựng nhưng là giao thức mở không phụ thuộc hạ tầng WorkOS
- Kết hợp các chuẩn OAuth hiện có (Protected Resource Metadata, ID-JAG) để có thể đăng và đọc mà không cần tài khoản
Ứng dụng/dịch vụ có thể tự kiểm soát flow nào sẽ chấp nhận và loại thông tin xác thực nào sẽ phát hành
Không chỉ có đặc tả mà còn cung cấp mẫu triển khai cho cả agent provider và service, cùng tệp AUTH.md đóng vai trò như skill manifest để có thể chạy thử thực tế
Nhiều dịch vụ như Cloudflare, Firecrawl, Resend, monday.com đã triển khai
Giấy phép MIT

2 bình luận

bichi 2 giờ trước

Vậy sao cái này lại không phải là AUTH.md?

laeyoung 3 giờ trước

auth.md của Firecrawl, Resend.

Cloudflare được nêu là trường hợp áp dụng đầu tiên trên trang giới thiệu giao thức, nhưng khi bấm vào thì lại hiện not found :(.

auth.md — giao thức mở để agent đăng ký thay người dùng

Bài viết liên quan

2 bình luận