Sontonio - IAM
简单易用的网络必备工具，专为中小企业设计

处于公开开发中。尚未准备好。目标是在2024年1月底推出基本版本。

上下文

新年快乐。2024年，开源IAM对中小企业来说仍然很糟糕。

我们将这些原因称为：JECK

JECK，4个IAM禁忌

• 使用JSON Web Tokens是因为它们在JavaScript开发中感觉起来很舒适。然而，JWT对于会话存储来说是不安全的。
• 关注企业级功能，因为那里有大量的资金。
• 由于太多你不需要的功能和糟糕的文档，实现起来很复杂。
• 最终结果是修补软件。软件感觉起来很恶心，因为你试图取悦每个人，结果却取悦了没有人。

为什么还需要另一个IAM库？

• 现有的解决方案远远超出了简单SAAS网络应用程序的基本问题复杂性。
• 这是一个有趣的体验。安全性不简单，欢迎反馈。 负责任地披露漏洞。

安全性

• 所有严重安全漏洞中的70%是内存安全问题。这就是为什么我们严格在代码中实施内存安全的Rust。
• 仅通过提供你实际使用的功能来减少攻击面。
• 没有带有新（未知的）风险的功能。例如，JWT用于会话，短信验证。

核心

• 简单易用的设置和部署。
• 多因素认证（OTP + 硬件密钥）
• 允许用户重置自己的密码。
• 基于位置的数据存储（适用于GDPR）。
• 基于cookie的会话存储。
• 审计日志。

常见问题解答

问题：为什么没有社交登录？

答案：简而言之，因为它是混乱的。OAuth（开放授权）被误用作认证方法，OAuth提供者的响应缺乏标准化。OIDC（OpenID Connect）在OAuth的基础上进一步发展，并使用不安全的JWT及其新的（未知的）风险。

许可证

许可MIT

除非你明确表示，否则你提交的任何有意包含在工作中的贡献，根据许可证定义，将根据上述条款和条件许可，不附加任何额外条款或条件。