Auth0'nun açık kaynaklı alternatifi Ory Kratos artık passwordless ve SMS desteği sunuyor

 (github.com/ory)
14 puan yazan xguru 2024-02-26 | 2 yorum | WhatsApp'ta paylaş
  • Ory Kratos v1.1 yayımlandı: ölçeklenebilir ve güvenliği güçlendirilmiş açık kaynaklı bir kimlik sunucusu

Yeni özellikler ve iyileştirmeler

  • Telefon doğrulama ve SMS ile iki faktörlü kimlik doğrulama (2FA): Twilio gibi SMS gateway'leriyle kolay entegrasyon sağlayarak güvenliği artırır
  • Çeviri ve uluslararasılaştırma desteği: Birden fazla dili destekleyerek dünya genelindeki kullanıcılar için erişilebilirliği artırır
  • Google ve Apple ile yerel giriş desteği: Mobil platformlarda "Google ile giriş yap" ve "Apple ile giriş yap" seçeneklerini yerel olarak destekler
  • Hesap bağlama: Aynı e-postayı paylaşan sosyal hesaplarla giriş yaparken hesap bağlamayı kolaylaştıran yeni özellik eklendi
  • Parolasız "magic code" ile giriş: E-posta ile tek kullanımlık kod göndererek giriş yapılmasını sağlar; parolasını unutanlar veya sosyal girişi kullanamayanlar için alternatif bir giriş yöntemi olarak kullanılabilir
  • Oturumları JWT'ye dönüştürme: Ory oturum çerezlerini veya token'larını JSON Web Token (JWT) biçimine dönüştürerek oturum yönetimi ve diğer sistemlerle entegrasyonda esneklik sağlar
  • E-posta gönderiminde güvenilirlik artışı: Farklı sağlayıcılar üzerinden e-posta gönderiminin güvenilirliği iyileştirildi
  • HTTP API ve ilgili SDK metodlarında iyileştirmeler: API çağrılarının performansı artırıldı ve kullanıcı dostu geliştirmeler yapıldı
  • Keyset pagination eklendi: Kimlik listesi performansını artırmak için keyset pagination eklendi
  • Passkeys ve WebAuthn için çoklu origin desteği: Alt alan adlarıyla çalışırken faydalıdır
  • Çıkış akışında iyileştirme: API çağrıları sırasında ayarlanan return_to parametresiyle kullanıcıyı yönlendirir
  • Ayar güncellemesinde parola doğrulaması zorunluluğu hatası düzeltildi: Kullanıcı ayarlarını güncellerken yanlış parola doğrulaması istenmesi sorunu çözüldü
  • Mevcut hesapla kayıt olmaya çalışanlara giriş ipucu: Zaten var olan bir hesapla kayıt olmaya çalışan kullanıcıya, mevcut hesabıyla giriş yapmasına yardımcı olacak ipucu sunulur
  • CORS yapılandırması için hot reload desteği: CORS ayarları değiştiğinde sunucuyu yeniden başlatmadan uygulanabilir
  • Ory OAuth2 / Ory Hydra entegrasyonunda iyileştirmeler: Çıkış, giriş oturumu yönetimi, doğrulama ve kurtarma akışları geliştirildi
  • Yeni parolasız giriş yöntemi "magic code" eklendi: E-posta ile tek kullanımlık kod göndererek giriş ve kayıt yapılabilir
  • Sosyal giriş entegrasyonunda iyileştirmeler: Sosyal giriş sağlayıcılarındaki doğrulanmış e-posta durumu kullanılabilir hale geldi
  • Ory Elements ve varsayılan Ory Account Experience için uluslararasılaştırma: Çeviriler aracılığıyla uluslararasılaştırma desteği sağlandı
  • Ory oturum çerezleri veya token'ları JWT'ye dönüştürülebilir: Oturum yönetimi ve diğer sistemlerle entegrasyon için yeni özellik eklendi
  • Yerel uygulamalarda kurtarma özelliği iyileştirildi: Kullanıcının tarayıcıya geçmeden kurtarma adımlarını tamamlayabilmesi sağlandı
  • Yöneticiler için tanımlayıcıya göre bulanık kullanıcı arama özelliği eklendi: Şimdilik önizleme aşamasında
  • HMAC hash'lenmiş parola içe aktarma desteği: Güvenliği artırmaya yönelik özellik eklendi
  • Webhook ile kimlik yöneticisi metadata güncelleme desteği: Yönetici işlevleri geliştirildi
  • Parola değiştiğinde kullanıcının tüm oturumlarını iptal etme özelliği eklendi: Güvenliği artırmaya yönelik özellik eklendi
  • Giriş, kayıt ve giriş yöntemleri için webhook desteği: Passkeys, TOTP vb. dahil tüm giriş yöntemleri için webhook desteği sunulur
  • Giriş ekranında "ID" yerine doğru etiket gösterimi: Örneğin "e-posta" veya "kullanıcı adı" gibi, tanımlayıcı şemasından alınan etiketler gösterilir
  • Giriş ipuçları sunma: Girişte başarısız olan kullanıcılara rehberlik sağlar
  • Twilio gibi SMS gateway'leri üzerinden telefon numarası doğrulama desteği: Güvenliği artırmaya yönelik özellik eklendi
  • SMS OTP, iki faktörlü kimlik doğrulama seçeneği olarak eklendi: Kullanıcı güvenliğini artırmaya yönelik özellik eklendi

İlgili okumalar

2 yorum

 
xguru 2024-02-26

Hacker News görüşleri

  • SMS doğrulamasını 2FA (iki faktörlü kimlik doğrulama) olarak kullanmanın artık güvenli olmadığı yönünde bir iddia

    • SMS artık bir anti-feature olarak görülüyor. Sorunu sadece başka bir yere taşıdığı eleştirisi yapılıyor.
    • E-posta doğrulamasının bile SMS'ten daha iyi olduğu yönünde görüşler var, ancak onun da çok daha iyi olmadığı belirtiliyor.
    • Cüzdan ve telefon en sık çalınan eşyalar arasında; birçok kişi de düşük maliyetli telefonlar veya ön ödemeli SIM kullanıyor.
    • Kimliğini geçici sayılması gereken bir telefon numarasına bağlamak, birkaç yıl sonra hesaba erişememe riskini doğurabilir.
    • İnsanların telefon numarasını değiştirmesinin birçok nedeni var: servis sağlayıcı değiştirmek, seyahatte farklı bir SIM kullanmak, iş değişikliği nedeniyle şirket tarafından verilen telefonu kaybetmek, operatörün eski numarayı devretmeyi reddetmesi, numaranın spam listelerine düşmesi vb.

  • Yeni özellik duyurusu için tebrik ve telefon numaralarını birinci sınıf vatandaş gibi ele almalarına yönelik olumlu değerlendirme.

    • Görüş, rakip FusionAuth'ta çalışan bir kişiden geliyor.
    • E-posta eşleşmesine dayalı olarak sosyal hesaplarla mevcut hesaplar arasındaki bağlantı, yeni özellik olarak tanıtılıyor.
    • Mevcut bir hesaba sosyal hesap bağlama senaryosuna dair dokümantasyon olduğu, tersinin de mümkün olup olmadığı soruluyor.
    • Bir kullanıcının alice@example.com ile kaydolduktan sonra alice@gmail.com hesabını bağlamak istemesi durumunun nasıl ele alındığı merak ediliyor.
    • Hesap bağlamanın kullanıcı bazında engellenip engellenemediği, yoksa sistem genelinde mi etkinleştirildiği soruluyor.
    • Birkaç yıldır hesap bağlama özelliğine sahip oldukları ve müşterilerin benzer edge case'leri gündeme getirdiği belirtiliyor.

  • Kratos ve Oathkeeper'ı Avustralya'daki bir onboarding uygulamasında self-host ederek kullanan birinden, çoğunlukla iyi çalıştıklarına dair olumlu geri bildirim.

    • Özel UI uygulama sürecinin çok zorlu olduğu deneyimi paylaşılıyor.
    • Sunucu kodu ile JS içindeki CSS'in karıştığı örnek projeden başlanması nedeniyle HTML/CSS'e erişmek zor olmuş.
    • Bu projenin ilerleyişine dair soru soruluyor.

  • SMS desteğiyle ilgili endişe dile getiriliyor.

    • SMS metin mesajlarının kimlik doğrulama amacıyla kullanılmaması gerektiği artık geniş ölçüde kabul görüyor.
    • Özellik talebine ait orijinal bağlantıyla birlikte, kullanıcı @zepatrik'in endişelerinin görmezden gelindiği belirtiliyor.

  • B2B SaaS uygulamaları için iyi bir çözüm tavsiyesi isteyen bir soru.

    • Uygulama girişi gerekiyor; parola, sosyal giriş gibi yaygın yöntemlerin yanı sıra e-posta alan adına göre kuralları özelleştirmenin bir yolunu arıyor.
    • Authentik ve FusionAuth gibi servisleri denediğini, ancak bunların organizasyon bazlı kontrol için uygun olmadığını paylaşıyor.

  • Bunun Auth0'a alternatif olmaktan çok, Auth0 alternatifini oluşturan bileşenlerden biri olduğu yönünde bir görüş.

  • Ory Kratos'un çalışmak için 7 Docker container kullanmasına yönelik eleştiri.

    • Yalnızca 2 container ile çalışan Keycloak ile karşılaştırıldığında ağır görünüyor.
    • Bu tür bir "şişkinliği" neyin haklı çıkardığı soruluyor.

  • E-posta ve SMS ile gönderilen şifrelenmemiş magic link'ler üzerinden kayıt, giriş, hesap bağlama ve session cookie'lerini geçerli JWT'lere dönüştürme konusundaki endişe.

    • Bir yıl içinde bir CVE (Common Vulnerabilities and Exposures) çıkacakmış gibi göründüğü söyleniyor.

  • İki yıldan kısa bir süredir production ortamında kullanım deneyimi paylaşılıyor.

    • Çok sayıda iyileştirme yapılmış olsa da kurulumun hâlâ zor olduğu ve jsonnet'in çok karmaşık olduğu belirtiliyor.
    • Giriş yaptıktan sonraki birkaç dakika içinde sosyal sağlayıcıdan gelinmişse mevcut parolayı bilmeden parola değiştirilebilmesi gibi garip kararlar olduğu, ama genel olarak bu alanda güçlü bir rakip olduğu ifade ediliyor.

  • Kratos'u kendi açık kaynak projesinde kullanmak istemiş, ancak farklı depolama seçenekleri eklemeyi ne kadar iyi desteklediği konusunda yeterince araştırma yapmadığını söyleyen bir görüş.

    • Projenin çeşitli belge depolarını desteklediği, Kratos'un da aynı depoyu sorgulayabilmesi için geliştirme yapmak istediğini belirtiyor.