Аутентификация — одна из немногих систем, где значим каждый запрос и где любая просадка границы доверия превращается в потерю выручки или безопасности. Auth Fly — конструктор, который мы хотели разворачивать сами: достаточно компактный, чтобы прочитать его от начала до конца, опирающийся на контракты и без фоновых каналов, на которые мы не подписывались.
Что значит «свой IdP»
- IdP работает на собственном origin. SAML metadata, OIDC discovery, JWKS — всё отдаётся с вашего домена.
- Без телеметрии. Бинарь не звонит домой, не тянет манифесты обновлений, не шлёт usage events.
- Конфигурация — у вас. Allowlist SP, allowlist OIDC-клиентов, ключи подписи — локальные файлы и переменные окружения, а не вендорские консоли.
Почему не выбрать готовую платформу
Существуют отличные открытые IdP. Мы строим свой потому, что хотим оставить поверхность намеренно узкой: dual-protocol мост, hosted-UI, адаптивные SDK. Меньше поверхность — быстрее аудит, меньше движущихся частей в incident response.
Что в PoC
- SAML 2.0 IdP с одной подписанной сессией, общей с OIDC-провайдером.
- OIDC authorization-code flow, JWKS, UserInfo, Discovery.
- Hosted-UI на Go + templ + UI8Kit со встроенными английским и русским.
- Hanko как credential-бэкенд за provider-agnostic контрактом.
Что на полосе разгона
MVP усиливается: PKCE, SAML анти-replay, ротация ключей, security headers, структурированные аудит-логи. Полная последовательность опубликована как pre-flight чек-лист — без сюрпризов и без скрытой дорожной карты.
