IdP — на своей стороне
Self-hosted, без телеметрии и без сторонних каналов обновлений. IdP работает на вашем origin и только на нём.
О проекте
Auth Fly
Открытая аутентификация. На вашей стороне.
Auth Fly — открытый конструктор аутентификации: self-hosted SAML 2.0 + OIDC Identity Provider, hosted-UI на UI8Kit и адаптивные SDK под любой язык и фреймворк. PoC уже работает с Hanko в роли credential-бэкенда; на MVP бэкенд — Supabase или собственный Postgres через SSO SPI.
Сквозная линия — скучная надёжность: provider-agnostic контракты в ядре, узкие адаптеры на каждый credential-бэкенд, наблюдаемость вместо сторителлинга и документация, совпадающая с поведением в проде.
Безопасность — не фича, а несущий хребет проекта. Усиление защиты ведётся публично через pre-flight чек-лист, без телеметрии и без сторонних каналов обновлений в критическом пути.
Рабочие принципы
Адаптивные SDK
Одно TypeScript-ядро для браузера; тонкие адаптеры под провайдера и под язык. Новый стек — это адаптер, а не переписывание.
Provider-agnostic ядро
Контракты ядра не зависят ни от UI, ни от бэкенда. Hanko меняется на Supabase или собственный Postgres без правок IdP и UI.
Безопасность открыто
Усиление защиты публикуется в pre-flight чек-листе. Сильные места и пробелы — рядом, без двойной бухгалтерии.
Технические референсы
Спецификации и чек-листы
Практические референсы для команд, которые держат собственный IdP — протоколы, hosted-UI и публичный чек-лист безопасности.
Auth Fly IdP — README
Двухпротокольный SAML 2.0 + OIDC IdP: эндпоинты, конфигурация, переопределения через переменные окружения и поведение SSO между протоколами.
Технические референсыЗаметки AuthKit и UI8Kit
Hosted-UI на Go + templ: Renderer, ViewConfig, FlowConfig, встроенная i18n и переход с Hanko Elements на UI8Kit.
Технические референсыPre-flight чек-лист безопасности
Публичный список усиления защиты, разделённый на четыре стадии: критические правки, усиление протоколов, web-безопасность, enterprise-функции.
Технические референсыДорожная карта
2025 Q3
Архитектура
Разделение core / authkit / authkit-hanko, контракты раньше кода
2025 Q4
PoC работает
SAML 2.0 + OIDC делят одну подписанную IdP-сессию, Hanko в роли credential-бэкенда
2025 Q4
Миграция UI
Hanko Elements заменены один-к-одному на UI8Kit во всём hosted-UI
2026 Q1
Стадия 1: критические правки
HTTP-таймауты, JWT iss/aud/alg, валидация session_key, режим ключевого файла 0600
2026 Q2
Стадия 2: усиление протоколов
PKCE, at_hash, проверка iss в OIDC, IssueInstant / Destination и анти-replay в SAML
2026 Q3
Стадия 3: web-безопасность
Security headers, CSRF на админке, rate limiting, MaxBytesReader, graceful shutdown
2026 Q4
Стадия 4: enterprise
Ротация ключей с multi-key JWKS, RSA-4096, SAML SLO, структурированные аудит-логи
Дальше
Расширение SSO SPI
Supabase и собственный Postgres за тем же контрактом CredentialVerifier
Дальше
Адаптивные SDK
Ядро AuthKit TS и тонкие SDK для Go, Node, Python, PHP и .NET