Журнал

Бортовой журнал

Заметки о разработке Auth Fly: дизайн протоколов, миграция UI с Hanko Elements на UI8Kit, адаптивные SDK, SSO SPI и pre-flight чек-лист безопасности.

Дорожная карта 2025-08-01 8 мин

Зачем Auth Fly: свой IdP, без телеметрии

Открытый конструктор SSO, выстроенный вокруг одного принципа: identity живёт на собственном origin, без сторонних каналов обновлений в критическом пути.

Ядро IdP 2025-09-05 10 мин

Одна IdP-сессия для SAML и OIDC

Как одна подписанная cookie idp_session мостит SAML Service Provider-ы и OIDC Relying Party на одном Identity Provider — и почему это остаётся простым.

SAML 2025-10-02 12 мин

SAML 2.0 в ~600 строках Go: что оставили, что убрали

Прогон по SAML-реализации Auth Fly: разбор AuthnRequest, ACS, фиксированный в конфиге SP, XMLDSig с SHA-256 и RS256 — и список усилений, ещё лежащий на полосе.

OIDC 2025-10-20 11 мин

Минимальный OIDC: code flow, JWKS и дорога к PKCE

Как выглядит небольшой OIDC-провайдер: Discovery, /authorize, одноразовые code, /token с no-store, /userinfo, /jwks — и список усилений до публичных клиентов.

Миграция UI 2025-11-10 12 мин

С Hanko Elements на UI8Kit: миграция один-к-одному

Сторонний web-компонент входа замещён собственным бандлом — тот же UX, та же i18n, та же тёмная тема, отдаётся с origin IdP без зависимости от CDN.

Миграция UI 2025-11-25 10 мин

Hosted-UI на Go + templ: i18n, тёмная тема, встроенные ассеты

Внутри AuthKit: как Renderer, ViewConfig и StaticFS держат hosted-UI входа provider-agnostic — и почему сама страница никогда не импортирует credential-бэкенд.

Архитектура 2025-12-15 11 мин

Provider-agnostic ядро: контракты раньше кода

Зачем стек Auth Fly разделён на core, authkit и authkit-hanko — и как этот разрез позволяет менять Hanko на Supabase или собственный Postgres без правок UI и IdP.

SDK 2026-01-15 11 мин

Адаптивные SDK: одно ядро на TypeScript, тонкие адаптеры под любой стек

Как AuthKit TS становится переносимым ядром браузерных auth-флоу — и как адаптеры под провайдеров и под языки сохраняют это ядро полезным от React до Go и PHP.

SPI 2026-02-10 12 мин

SSO SPI: от PoC на Hanko к Supabase или собственному Postgres

Как контракт CredentialVerifier превращается в Service Provider Interface — это позволяет менять credential-бэкенд без правок IdP, UI и инвариантов безопасности.

Безопасность 2026-03-05 16 мин

Pre-flight чек-лист: от PoC к усилению MVP

Полный список усиления Auth Fly, открыто — что уже сильно в PoC и какие четыре стадии правок выводят проект от PoC к production-формату MVP.