Jede Art, sich anzumelden
Passwort, passwortlos, sozial, Passkey, Magic Link, Wiederherstellungsphrase. Ihre Nutzer wählen die Methode, der sie vertrauen — Sie erhalten eine einheitliche Sitzung.
E-Mail + Passwort
Argon2id-Hashing, zxcvbn-Stärkebewertung, HaveIBeenPwned-Leak-Prüfung, konfigurierbarer Passwortverlauf.
Passkeys / WebAuthn
FIDO2-Hardwareschlüssel und biometrische Authentifikatoren mit direkter Attestierung und Conditional-UI-Autovervollständigung.
Magic Links
Passwortlose E-Mail-Anmeldung mit einem Klick. Konfigurierbare TTL, Ratenbegrenzung pro E-Mail, optionale Registrierung für neue Nutzer.
Soziales OAuth (PKCE)
Google, GitHub, Apple mit PKCE S256. 2FA bei jeder weiteren föderierten Anmeldung erzwungen.
Wiederherstellungsphrase
BIP-39-Mnemonik (12 oder 24 Wörter) mit optionaler Passphrase. Post-quantensicher bei 256-Bit-Entropie.
Geräte-Flow (RFC 8628)
Melden Sie sich auf Fernsehern, CLI-Tools und IoT-Geräten mit einem kurzen, lesbaren Code an.
Tiefgestaffelte Verteidigung
Legen Sie zweite Faktoren über jede primäre Methode. Pflicht bei föderierter Anmeldung, sonst optional, je Richtlinie konfigurierbar.
TOTP
Google Authenticator, Authy und jede RFC-6238-App.
E-Mail-OTP
6-stelliger Code an verifizierte E-Mail, 10 Minuten TTL.
SMS-OTP
Über Twilio Verify oder im Direktnachrichtenmodus.
Backup-Codes
8 Einmal-Codes im Format XXXX-XXXX, SHA-256-gehasht.
Post-Quanten, Datenschutz zuerst
Gebaut für die Quantenära. Jede Sitzung, jedes Token und jedes Geheimnis ist mit Algorithmen geschützt, die klassischen wie quantenbasierten Angriffen standhalten.
ML-DSA-44-Sitzungen
Post-Quanten-Digitalsignaturen bei jeder Sitzung. Bei Wiederaufnahme verifiziert; bei erkannter Fälschung sofort widerrufen.
AES-256-GCM im Ruhezustand
TOTP-Geheimnisse, OAuth-Token, PQC-Schlüssel, LDAP-Passwörter — alle vor der Speicherung mit AES-256-GCM verschlüsselt.
Paarweiser Datenschutz
Jede App erhält eine eindeutige, app-spezifische Nutzerkennung. Apps können Nutzer nicht über Dienste hinweg korrelieren.
Adaptive Bedrohungserkennung
ML-gestützte Risikobewertung: neue IP, neues Gerät, ungewöhnliche Zeiten, Burst-Erkennung. Automatisch hochstufen oder blockieren.
Bedingter Zugriff
IP-Zulassungs-/Sperrliste, Geoblocking, CAPTCHA nach N Fehlversuchen, Zugriffsrichtlinien auf Organisationsebene.
Token-Rotation
Rotation der Refresh-Token mit familienbasierter Replay-Erkennung. DPoP-Besitznachweis (RFC 9449).
Standardkonforme Föderation
Vollständiger OAuth-2.0-Autorisierungsserver, OpenID-Connect-Provider, SAML-2.0-IdP und SCIM-2.0-Provisionierung. Nicht nur kompatibel — konform.
OAuth 2.0 / OIDC
Autorisierungscode + PKCE, Client Credentials, Geräte-Flow, Token-Austausch (RFC 8693), PAR (RFC 9126).
SAML-2.0-IdP
SSO, SLO, signierte Assertions, Attributzuordnung, paarweise NameID, Schutz vor Kompressionsbomben.
SCIM 2.0
Provisionierung von Nutzern und Gruppen. Bulk-Operationen, Filterabfragen, PATCH-Unterstützung, organisationsbezogene Token.
Dynamische Client-Registrierung
RFC 7591 mit Ratenbegrenzung und Scope-Whitelisting. Authentifizierte, Administrator- oder offene Richtlinie.
Backchannel-Abmeldung
RS256-Abmeldetoken an jeden RP. Frontchannel-iframe-Abmeldung wird ebenfalls unterstützt.
Benutzerdefinierte Claims
Claim-Zuordnungen pro Client: statische Werte, Nutzerfelder, Rollen. Bei der Token-Ausstellung aufgelöst.
Alles über ein einziges Panel
Vollständiges Admin-Dashboard, Entwicklerkonsole, Webhooks, Audit-Trail, Analysen und Bulk-Operationen. Schneller ausliefern, leichter debuggen.
Echtzeit-Analysen
DAU/WAU/MAU, Anmeldetrends, 2FA-Akzeptanz, Aufschlüsselung der Authentifizierungsmethoden, Raten fehlgeschlagener Anmeldungen.
Manipulationssicheres Audit
Hash-verkettete Audit-Ereignisse mit Akteurbindung. Jede Admin-Aktion protokolliert; Integrität überprüfbar.
Webhooks
Mit HMAC-SHA256 signierte Payloads für user.created, login, logout, Passwortänderung und OAuth-Zustimmung.
Organisationen
Mandantenisolation, Mitgliedsrollen (Eigentümer/Administrator/Mitglied), einladungsbasiertes Onboarding.
Identitätsübernahme
Administratoren können für den Support die Identität von Nutzern übernehmen — sitzungsgebunden, audit-protokolliert, bei Abmeldung automatisch widerrufen.
SDKs
JavaScript/TypeScript- und React-SDKs mit PKCE, Token-Lebenszyklus, typisierten Fehlern und Abmeldung.