面面俱到的登录方式
密码、无密码、社交登录、密码密钥、魔术链接、复原助记词。用户选择自己信任的方式 — 您得到一致的工作阶段。
电子邮件 + 密码
Argon2id 哈希、zxcvbn 强度评分、HaveIBeenPwned 外泄比对,以及可设置的密码历史纪录。
密码密钥 / WebAuthn
FIDO2 硬件密钥与生物辨识验证器,支持直接认证与条件式 UI 自动填入。
魔术链接
一键式的无密码电子邮件登录。可设置 TTL、每个信箱的速率限制,以及为新用户选择是否开放注册。
社交 OAuth(PKCE)
Google、GitHub、Apple,皆采用 PKCE S256。之后每次联合登录都强制运行 2FA。
复原助记词
BIP-39 助记词(12 或 24 个字),可搭配选用的通关密语。256 比特熵下具后量子安全性。
设备流程(RFC 8628)
在电视、CLI 工具与 IoT 设备上,使用简短易读的代码登录。
纵深防御
在任何主要验证方式之上叠加第二要素。联合登录时为必要,其余情境皆为选用,并可依政策设置。
TOTP
Google Authenticator、Authy,以及任何符合 RFC 6238 的应用程序。
电子邮件 OTP
6 位数验证码寄至已验证信箱,TTL 为 10 分钟。
短信 OTP
通过 Twilio Verify 或直接发送消息模式。
备援码
8 组一次性代码,格式为 XXXX-XXXX,并以 SHA-256 哈希。
后量子、隐私至上
为量子时代而生。每个工作阶段、权杖与密钥,都以能同时抵御传统与量子攻击的算法守护。
ML-DSA-44 工作阶段
每个工作阶段都带有后量子数字签章。在恢复时验证;一旦侦测到伪造,工作阶段立即遭撤销。
静态 AES-256-GCM 加密
TOTP 密钥、OAuth 权杖、PQC 密钥、LDAP 密码 — 全部在保存前以 AES-256-GCM 加密。
成对隐私
每个应用程序都会取得专属于该应用程序的唯一用户识别码。应用程序无法跨服务串连用户身分。
自适应威胁侦测
ML 驱动的风险评分:新 IP、新设备、异常时段、突发侦测。自动升级验证或封锁。
条件式访问
IP 允许清单/封锁清单、地理封锁、达 N 次失败后出示 CAPTCHA,以及组织层级的访问政策。
权杖轮替
刷新权杖轮替,搭配以权杖家族为基础的重放侦测。DPoP 持有证明(RFC 9449)。
符合标准的身分联合
完整的 OAuth 2.0 授权服务器、OpenID Connect 供应商、SAML 2.0 IdP,以及 SCIM 2.0 布建。不只是兼容 — 而是完全符合规范。
OAuth 2.0 / OIDC
授权码 + PKCE、用户端凭证、设备流程、权杖交换(RFC 8693)、PAR(RFC 9126)。
SAML 2.0 IdP
SSO、SLO、签署的判断提示、属性对应、成对 NameID,以及压缩炸弹防护。
SCIM 2.0
用户与群组布建。批量作业、筛选查找、PATCH 支持,以及限定组织范围的权杖。
动态用户端注册
RFC 7591,搭配速率限制与范围白名单。可采用已验证、管理员或开放政策。
后端信道注销
向每个 RP 发送 RS256 注销权杖。同时也支持前端信道 iframe 注销。
自订声明
依用户端设置的声明对应:静态值、用户字段、角色。于核发权杖时解析。
一个面板,掌控全局
完整的管理仪表板、开发者主控台、Webhook、稽核轨迹、分析,以及批量作业。出货更快,调试更轻松。
即时分析
DAU/WAU/MAU、登录趋势、2FA 采用率、验证方式分布,以及登录失败率。
防窜改稽核
以哈希串接并绑定操作者的稽核事件。每一项管理操作都会记录;完整性可供验证。
Webhook
以 HMAC-SHA256 签署的酬载,涵盖 user.created、login、logout、密码变更与 OAuth 授权同意。
组织
多租户隔离、成员角色(拥有者/管理员/成员),以及以邀请为基础的加入流程。
仿真身分
管理员可仿真用户身分以提供支持 — 绑定工作阶段、记录稽核,并于注销时自动撤销。
SDK
JavaScript/TypeScript 与 React SDK,内含 PKCE、权杖生命周期、类型化错误与注销。