Auth0의 오픈소스 대체제 Ory Kratos, 이제 Passwordless 및 SMS 지원

 (github.com/ory)
14P by xguru 3달전 | favorite | 댓글 2개
  • Ory Kratos v1.1 출시 : 확장 가능하며, 보안이 강화된 오픈 소스 아이덴티티 서버

새로운 기능 및 개선 사항

  • 휴대폰 인증 & SMS를 통한 2단계 인증(2FA): Twilio와 같은 SMS 게이트웨이와 쉽게 통합하여 보안을 강화
  • 번역 및 국제화 지원: 다양한 언어를 지원하여 전 세계 사용자에게 접근성을 높임
  • Google 및 Apple과의 네이티브 로그인 지원: 모바일 플랫폼에서 "Google로 로그인" 및 "Apple로 로그인"을 네이티브로 지원
  • 계정 연결: 동일한 이메일을 공유하는 소셜 계정으로 로그인할 때 계정 연결을 용이하게 하는 새로운 기능 추가
  • 비밀번호 없는 "매직 코드" 로그인: 이메일로 일회용 코드를 보내 로그인하는 방식으로, 비밀번호를 잊었거나 소셜 로그인을 사용할 수 없을 때 대체 로그인 방법으로 사용 가능
  • 세션을 JWT로 변환: Ory 세션 쿠키나 토큰을 JSON 웹 토큰(JWT)으로 변환하여 세션 관리와 다른 시스템과의 통합을 유연하게 함
  • 이메일 전송의 신뢰성 향상: 다양한 제공업체를 통한 이메일 전송 신뢰성 개선
  • HTTP API 및 관련 SDK 메소드 개선: API 호출 성능 향상 및 사용자 친화적인 개선
  • 키셋 페이지네이션 도입: 아이덴티티 목록 성능 향상을 위해 키셋 페이지네이션 도입
  • Passkeys 및 WebAuthn의 다중 출처 지원: 서브도메인 작업 시 유용함
  • 로그아웃 흐름 개선: API 호출 시 설정된 return_to 매개변수로 사용자를 리디렉션함
  • 설정 업데이트 시 비밀번호 확인 요구 오류 수정: 사용자가 설정을 업데이트할 때 잘못된 비밀번호 확인 요구 문제 해결
  • 기존 계정으로 가입 시 로그인 힌트 제공: 이미 존재하는 계정으로 가입하려는 사용자에게 기존 계정으로 로그인하도록 도와주는 힌트 제공
  • CORS 설정의 핫 리로드 지원: CORS 설정 변경 시 서버 재시작 없이 적용 가능
  • Ory OAuth2 / Ory Hydra와의 통합 개선: 로그아웃, 로그인 세션 관리, 검증 및 복구 흐름 개선
  • 비밀번호 없는 새로운 로그인 방법 "매직 코드" 추가: 이메일로 일회용 코드를 보내는 방식으로 로그인 및 가입 가능
  • 소셜 로그인 통합 개선: 소셜 로그인 제공업체에서 확인된 이메일 상태를 사용 가능
  • Ory Elements 및 기본 Ory Account Experience 국제화: 번역을 통한 국제화 지원
  • Ory 세션 쿠키나 토큰을 JWT로 변환 가능: 세션 관리와 다른 시스템과의 통합을 위한 기능 추가
  • 네이티브 앱에서의 복구 기능 개선: 사용자가 브라우저로 전환하지 않고도 복구 단계를 완료할 수 있도록 개선
  • 관리자가 식별자로 사용자를 퍼지 검색할 수 있는 기능 추가: 아직 미리보기 단계
  • HMAC 해시된 비밀번호 가져오기 가능: 보안 강화를 위한 기능 추가
  • 웹훅을 통한 아이덴티티 관리자 메타데이터 업데이트 지원: 관리자 기능 개선
  • 비밀번호 변경 시 사용자의 모든 세션을 취소할 수 있는 기능 추가: 보안 강화를 위한 기능 추가
  • 로그인, 등록 및 로그인 방법에 대한 웹훅 지원: Passkeys, TOTP 등을 포함한 모든 로그인 방법에 대한 웹훅 지원
  • 로그인 화면에서 "ID" 대신 올바른 레이블 표시: 예를 들어 "이메일" 또는 "사용자 이름"과 같은 식별자 스키마에서 추출함
  • 로그인 힌트 제공: 로그인에 실패한 사용자에게 가이드를 제공함
  • Twilio와 같은 SMS 게이트웨이를 통한 전화번호 인증 지원: 보안 강화를 위한 기능 추가
  • SMS OTP를 2단계 인증 옵션으로 추가: 사용자 보안 강화를 위한 기능 추가
xguru 3달전  [-]

Hacker News 의견

  • SMS 인증을 2FA(이중 인증)로 사용하는 것은 더 이상 안전하지 않다는 주장

    • SMS는 이제 안티 피처로 여겨짐. 문제를 단순히 옮기는 것에 불과하다고 비판.
    • 이메일 인증조차도 SMS보다 낫다는 의견이 있으나, 그것도 크게 나은 것은 아님.
    • 지갑과 휴대폰이 가장 흔히 도난당하는 물건이며, 많은 사람들이 저가 휴대폰이나 선불 SIM을 사용함.
    • 일시적으로 여겨져야 할 전화번호에 자신의 신원을 묶는 것은 몇 년 후 계정에 접근하지 못하게 될 위험이 있음.
    • 사람들이 전화번호를 변경하는 다양한 이유가 있음: 서비스 제공자 변경, 여행 중 다른 SIM 사용, 직장 변경으로 인한 회사 제공 전화 상실, 운영자가 이전 번호 인수 거부, 스팸 목록에 번호가 오르는 경우 등.

  • 새로운 기능 발표에 대한 축하의 말과 함께, 전화번호를 일급 시민으로 취급하는 것에 대한 긍정적인 평가.

    • 경쟁사인 FusionAuth에서 일하는 사람으로부터의 의견.
    • 이메일 매칭을 기반으로 한 소셜 계정과 기존 계정 간의 연결이 새로운 기능으로 소개됨.
    • 기존 계정에 소셜 계정을 연결하는 시나리오에 대한 문서가 있으며, 반대의 경우도 가능한지에 대한 질문이 있음.
    • 사용자가 alice@example.com으로 가입한 후 alice@gmail.com을 연결하고 싶어하는 경우를 어떻게 처리하는지에 대한 궁금증.
    • 계정 연결을 사용자별로 차단할 수 있는지, 아니면 시스템 전체에서 활성화되는지에 대한 의문.
    • 몇 년 전부터 계정 연결 기능을 가지고 있었으며, 고객들이 이와 같은 경계 사례를 제기한 바 있음.

  • 크라토스(Kratos)와 오스키퍼(Oathkeeper)를 호주의 온보딩 앱에 자체 호스팅하여 사용 중인데 대부분 잘 작동한다는 긍정적인 피드백.

    • 맞춤형 UI를 적용하는 과정이 매우 힘들었다는 경험 공유.
    • 서버 코드와 JS 내 CSS가 혼합된 예제 프로젝트를 시작으로 하여 HTML/CSS에 접근하기 어려웠음.
    • 이 프로젝트의 진전에 대한 질문이 있음.

  • SMS 지원에 대한 우려 표명.

    • SMS 문자 메시지가 인증 목적으로 사용되어서는 안 된다는 것이 널리 인정되고 있음.
    • 기능 요청에 대한 원본 링크와 함께, 사용자 @zepatrik의 우려가 무시된 것에 대한 지적.

  • B2B SaaS 애플리케이션에 대한 좋은 솔루션에 대한 조언을 구하는 질문.

    • 앱 로그인이 필요하며, 비밀번호, 소셜 등의 일반적인 방법뿐만 아니라 이메일 도메인별로 규칙을 맞춤 설정할 수 있는 방법을 찾고 있음.
    • Authentik과 FusionAuth와 같은 서비스를 시도했지만, 조직별 제어에 적합하지 않았다는 경험 공유.

  • Auth0의 대안이라기보다는 Auth0의 대안을 구성하는 컴포넌트 중 하나라는 의견.

  • Ory Kratos가 실행을 위해 7개의 도커 컨테이너를 사용하는 것에 대한 비판.

    • 단 2개의 컨테이너로 실행되는 Keycloak과 비교했을 때 무거워 보임.
    • 이러한 '부피'를 정당화하는 것이 무엇인지에 대한 질문.

  • 이메일과 SMS로 보내는 암호화되지 않은 매직 링크를 통한 가입, 로그인, 계정 연결 및 세션 쿠키를 유효한 JWT로 전환하는 것에 대한 우려.

    • 1년 내에 CVE(공통 취약점 및 노출)가 발생할 것 같다는 의견.

  • 2년 미만의 기간 동안 프로덕션 환경에서 사용해온 경험 공유.

    • 많은 개선이 이루어졌으나, 여전히 설정이 어렵고 jsonnet이 매우 복잡하다는 의견.
    • 로그인 후 몇 분 이내에 소셜 제공자로부터 온 경우 현재 비밀번호를 모르더라도 비밀번호 변경이 가능한 등 이상한 결정들이 있지만 전반적으로 이 분야에서 강력한 경쟁자임.

  • Kratos를 자신의 오픈소스 프로젝트에 사용하고 싶었지만, 다양한 스토리지 옵션 추가에 대한 지원을 얼마나 잘 하는지에 대한 연구가 충분하지 않았다는 의견.

    • 프로젝트가 다양한 문서 저장소를 지원하며, Kratos가 동일한 저장소를 쿼리할 수 있도록 개발 작업을 진행하고 싶은 바람을 표현함.
답변달기