auth.md — Protokol terbuka agar agen dapat mendaftarkan pengguna atas nama mereka

xguru · 2026-06-26T09:31:02+09:00

Standar file auth.md yang dihosting tiap layanan di root domain mereka Memberi tahu agen cara mendaftarkan pengguna atas nama mereka, sehingga agen dapat mendaftarkan pengguna tanpa formulir pendaftaran terpisah File ini mencakup flow yang didukung, scope yang tersedia, dan cara mendaftar ke layanan Terdiri dari tiga pihak agent: pihak yang bertindak atas nama pengguna agent provider: IdP yang menerbitkan assertion identitas ID-JAG service: pihak yang menerima assertion dan menerbitkan kredensial Agen mengambil auth.md, memilih flow yang didukung, lalu menampilkan verified identity assertion atau menjalankan code verification claim untuk pengguna Cara pendaftaran diperkenalkan sebagai dua jenis secara pemasaran, tetapi dalam implementasinya ada tiga jenis, termasuk anonymous Agent verified: IdP milik agen menjamin pengguna, tanpa campur tangan manusia User claimed: tidak memerlukan provider; setelah login, pengguna memverifikasi kode yang ditampilkan agen. Menggunakan RFC 8628 style claim ceremony (metode device flow) Anonymous Registration: agen mula-mula beroperasi dengan pre-claim scope, lalu ditingkatkan ke post-claim token ketika pengguna mengklaim kepemilikan Sebagian besar aplikasi mendukung kedua metode, dan agen memilih sesuai situasi Agen menerima scoped access token yang terikat ke pengguna, berumur pendek dan dapat dicabut Diterbitkan di atas standar OAuth, sehingga autentikasi API yang sudah ada dapat digunakan kembali apa adanya Penerbitan ID-JAG → penukaran access_token dengan RFC 7523 JWT-bearer grant, bekerja melalui discovery /.well-known/oauth-authorization-server Ditulis oleh WorkOS, tetapi merupakan protokol terbuka yang tidak bergantung pada infrastruktur WorkOS Dengan menggabungkan standar OAuth yang ada (Protected Resource Metadata, ID-JAG), publikasi dan pembacaan dapat dilakukan tanpa akun Aplikasi/layanan dapat mengontrol sendiri flow mana yang diterima dan kredensial apa yang akan diterbitkan Bukan hanya spesifikasi; juga menyediakan implementasi contoh di sisi agent provider dan service serta file AUTH.md yang berperan sebagai skill manifest, sehingga bisa langsung diuji Berbagai layanan seperti Cloudflare, Firecrawl, Resend, monday.com, dan lainnya sudah mengadopsinya Lisensi MIT

(workos.com)

6 poin oleh xguru 5 jam lalu | 2 komentar | Bagikan ke WhatsApp

Standar file auth.md yang dihosting tiap layanan di root domain mereka
Memberi tahu agen cara mendaftarkan pengguna atas nama mereka, sehingga agen dapat mendaftarkan pengguna tanpa formulir pendaftaran terpisah
File ini mencakup flow yang didukung, scope yang tersedia, dan cara mendaftar ke layanan
Terdiri dari tiga pihak
- agent: pihak yang bertindak atas nama pengguna
- agent provider: IdP yang menerbitkan assertion identitas ID-JAG
- service: pihak yang menerima assertion dan menerbitkan kredensial
Agen mengambil auth.md, memilih flow yang didukung, lalu menampilkan verified identity assertion atau menjalankan code verification claim untuk pengguna
Cara pendaftaran diperkenalkan sebagai dua jenis secara pemasaran, tetapi dalam implementasinya ada tiga jenis, termasuk anonymous
- Agent verified: IdP milik agen menjamin pengguna, tanpa campur tangan manusia
- User claimed: tidak memerlukan provider; setelah login, pengguna memverifikasi kode yang ditampilkan agen. Menggunakan RFC 8628 style claim ceremony (metode device flow)
- Anonymous Registration: agen mula-mula beroperasi dengan pre-claim scope, lalu ditingkatkan ke post-claim token ketika pengguna mengklaim kepemilikan
- Sebagian besar aplikasi mendukung kedua metode, dan agen memilih sesuai situasi
Agen menerima scoped access token yang terikat ke pengguna, berumur pendek dan dapat dicabut
Diterbitkan di atas standar OAuth, sehingga autentikasi API yang sudah ada dapat digunakan kembali apa adanya
- Penerbitan ID-JAG → penukaran access_token dengan RFC 7523 JWT-bearer grant, bekerja melalui discovery /.well-known/oauth-authorization-server
Ditulis oleh WorkOS, tetapi merupakan protokol terbuka yang tidak bergantung pada infrastruktur WorkOS
- Dengan menggabungkan standar OAuth yang ada (Protected Resource Metadata, ID-JAG), publikasi dan pembacaan dapat dilakukan tanpa akun
Aplikasi/layanan dapat mengontrol sendiri flow mana yang diterima dan kredensial apa yang akan diterbitkan
Bukan hanya spesifikasi; juga menyediakan implementasi contoh di sisi agent provider dan service serta file AUTH.md yang berperan sebagai skill manifest, sehingga bisa langsung diuji
Berbagai layanan seperti Cloudflare, Firecrawl, Resend, monday.com, dan lainnya sudah mengadopsinya
Lisensi MIT

2 komentar

bichi 2 jam lalu

Kenapa ini bukan AUTH.md?

laeyoung 3 jam lalu

auth.md dari Firecrawl dan Resend.

Cloudflare disebut sebagai contoh penerapan pertama di halaman pengenalan protokol, tetapi kalau diklik malah muncul not found :(.

auth.md — Protokol terbuka agar agen dapat mendaftarkan pengguna atas nama mereka

Bacaan terkait

2 komentar