auth.md — Ein offenes Protokoll, mit dem Agenten Nutzer stellvertretend registrieren können

xguru · 2026-06-26T09:31:02+09:00

Standard für eine auth.md-Datei, die jeder Dienst im Root seiner eigenen Domain hostet Erklärt Agenten, wie sie Nutzer stellvertretend registrieren können, sodass ein Agent Nutzer ohne separates Registrierungsformular anmelden kann Die Datei enthält die unterstützten Flows, vorhandene Scopes und die Methode zur Dienstregistrierung Besteht aus drei Akteuren agent: die Entität, die im Namen des Nutzers handelt agent provider: ein IdP, der die Identitäts-Assertion ID-JAG ausstellt service: die Entität, die die Assertion akzeptiert und Zugangsdaten ausstellt Der Agent ruft auth.md ab, wählt einen unterstützten Flow aus und präsentiert dann eine verified identity assertion oder führt gegenüber dem Nutzer einen code confirmation claim durch Die Registrierungsmethoden werden im Marketing als zwei Varianten beschrieben, in der Implementierung gibt es einschließlich anonymous jedoch drei Agent verified: Der IdP des Agenten bürgt für den Nutzer, ohne menschliches Eingreifen User claimed: kein Provider erforderlich; der Nutzer bestätigt nach dem Login einen vom Agenten angezeigten Code. Verwendet eine RFC-8628-artige Claim Ceremony im Stil eines Device Flow Anonymous Registration: Der Agent arbeitet zunächst mit einem pre-claim scope und wird, sobald der Nutzer den Besitz beansprucht, auf ein post-claim token hochgestuft Die meisten Apps unterstützen beide Varianten; der Agent wählt passend zur Situation Der Agent erhält einen an den Nutzer gebundenen scoped access token, kurzlebig und widerrufbar Wird auf Basis von Standard-OAuth ausgestellt und kann daher bestehende API-Authentifizierung unverändert wiederverwenden ID-JAG-Ausstellung → Austausch gegen access_token über RFC 7523 JWT-bearer grant, funktioniert per Discovery über /.well-known/oauth-authorization-server Von WorkOS erstellt, aber ein offenes Protokoll, das nicht von der WorkOS-Infrastruktur abhängig ist Kombiniert bestehende OAuth-Standards (Protected Resource Metadata, ID-JAG), sodass Veröffentlichung und Lesen ohne Konto möglich sind Apps/Dienste können selbst kontrollieren, welche Flows sie akzeptieren und welche Zugangsdaten sie ausstellen Neben der Spezifikation werden auch Beispielimplementierungen für beide Seiten, agent provider und service, sowie eine AUTH.md-Datei in der Rolle eines Skill-Manifests bereitgestellt, sodass man es praktisch ausprobieren kann Mehrere Dienste wie Cloudflare, Firecrawl, Resend und monday.com haben es bereits eingeführt MIT-Lizenz

(workos.com)

6 Punkte von xguru 5 시간 전 | 2 Kommentare | Auf WhatsApp teilen

Standard für eine auth.md-Datei, die jeder Dienst im Root seiner eigenen Domain hostet
Erklärt Agenten, wie sie Nutzer stellvertretend registrieren können, sodass ein Agent Nutzer ohne separates Registrierungsformular anmelden kann
Die Datei enthält die unterstützten Flows, vorhandene Scopes und die Methode zur Dienstregistrierung
Besteht aus drei Akteuren
- agent: die Entität, die im Namen des Nutzers handelt
- agent provider: ein IdP, der die Identitäts-Assertion ID-JAG ausstellt
- service: die Entität, die die Assertion akzeptiert und Zugangsdaten ausstellt
Der Agent ruft auth.md ab, wählt einen unterstützten Flow aus und präsentiert dann eine verified identity assertion oder führt gegenüber dem Nutzer einen code confirmation claim durch
Die Registrierungsmethoden werden im Marketing als zwei Varianten beschrieben, in der Implementierung gibt es einschließlich anonymous jedoch drei
- Agent verified: Der IdP des Agenten bürgt für den Nutzer, ohne menschliches Eingreifen
- User claimed: kein Provider erforderlich; der Nutzer bestätigt nach dem Login einen vom Agenten angezeigten Code. Verwendet eine RFC-8628-artige Claim Ceremony im Stil eines Device Flow
- Anonymous Registration: Der Agent arbeitet zunächst mit einem pre-claim scope und wird, sobald der Nutzer den Besitz beansprucht, auf ein post-claim token hochgestuft
- Die meisten Apps unterstützen beide Varianten; der Agent wählt passend zur Situation
Der Agent erhält einen an den Nutzer gebundenen scoped access token, kurzlebig und widerrufbar
Wird auf Basis von Standard-OAuth ausgestellt und kann daher bestehende API-Authentifizierung unverändert wiederverwenden
- ID-JAG-Ausstellung → Austausch gegen access_token über RFC 7523 JWT-bearer grant, funktioniert per Discovery über /.well-known/oauth-authorization-server
Von WorkOS erstellt, aber ein offenes Protokoll, das nicht von der WorkOS-Infrastruktur abhängig ist
- Kombiniert bestehende OAuth-Standards (Protected Resource Metadata, ID-JAG), sodass Veröffentlichung und Lesen ohne Konto möglich sind
Apps/Dienste können selbst kontrollieren, welche Flows sie akzeptieren und welche Zugangsdaten sie ausstellen
Neben der Spezifikation werden auch Beispielimplementierungen für beide Seiten, agent provider und service, sowie eine AUTH.md-Datei in der Rolle eines Skill-Manifests bereitgestellt, sodass man es praktisch ausprobieren kann
Mehrere Dienste wie Cloudflare, Firecrawl, Resend und monday.com haben es bereits eingeführt
MIT-Lizenz

2 Kommentare

bichi 2 시간 전

Warum heißt das eigentlich nicht AUTH.md?

laeyoung 3 시간 전

auth.md von Firecrawl und Resend.

Cloudflare wird als erster Anwendungsfall auf der Protokoll-Vorstellungsseite genannt, aber wenn man darauf klickt, erscheint not found :(.

auth.md — Ein offenes Protokoll, mit dem Agenten Nutzer stellvertretend registrieren können

Verwandte Beiträge

2 Kommentare