AgentAuth Deep Dive: সেলফ-অথেন্টিকেটিং UUID সম্পর্কে বিস্তারিত ধারণা
একটি AI এজেন্টকে লগইন স্ক্রিন দেখানো অর্থহীন।
এজেন্টরা ব্রাউজারের সামনে বসে থাকে না। তারা রাত ৩টার সময়ও টুল কল (tool calls) পাঠাতে পারে। তারা সমান্তরালভাবে (in parallel) কাজ করে। OAuth বা সেশন কুকিজের মতো প্রথাগত পদ্ধতিগুলো এখানে ব্যর্থ হয়, কারণ এগুলো ধরে নেয় যে কনসেন্ট বা সম্মতি বাটনে ক্লিক করার জন্য একজন মানুষ উপস্থিত আছে।
AgentAuth একটি মাত্র জিনিসের মাধ্যমে এই সমস্যার সমাধান করে: একটি UUID।
এটি কোনো সেশন বা অতিরিক্ত ইনফ্রাস্ট্রাকচার ব্যবহার করে না। এটি আইডেন্টিটি (identity) এবং অথেন্টিকেশনকে (authentication) একটি একক মানের মধ্যে অন্তর্ভুক্ত করতে পাবলিক-কী ক্রিপ্টোগ্রাফি (public-key cryptography) ব্যবহার করে।
এটি যেভাবে কাজ করে:
• টোকেন (The Token): একটি প্রাইভেট কী (secp256k1)। এটি আপনার মেশিনে গোপন থাকে। • অ্যাড্রেস (The Address): টোকেন থেকে প্রাপ্ত একটি পাবলিক ভ্যালু। • আইডি (The ID): অ্যাড্রেস থেকে তৈরি একটি স্ট্যাবল UUID।
এই প্রবাহটি একমুখী। আপনি টোকেন থেকে আইডিতে যেতে পারেন, কিন্তু আইডি থেকে টোকেনে ফিরে আসতে পারবেন না। এটি আইডি-কে একটি স্ট্যাবল আইডেন্টিটি হিসেবে প্রতিষ্ঠিত করে।
এটি কীভাবে ছদ্মবেশ ধারণ (impersonation) রোধ করে?
যদিও আইডিটি পাবলিক, একজন আক্রমণকারী এটি ব্যবহার করতে পারে না। প্রতিটি রিকোয়েস্টের সাথে একটি ডিজিটাল সিগনেচার থাকে।
- ক্লায়েন্ট প্রাইভেট টোকেন দিয়ে রিকোয়েস্ট পেলোডটি (request payload) সাইন করে।
- সার্ভার সিগনেচার এবং দাবি করা অ্যাড্রেসটি গ্রহণ করে।
- সার্ভার অ্যাড্রেসটি পুনরুদ্ধার করতে সিগনেচারটি ব্যবহার করে।
- যদি পুনরুদ্ধার করা অ্যাড্রেসটি দাবি করা অ্যাড্রেসের সাথে মিলে যায়, তবে রিকোয়েস্টটি বৈধ।
এই প্রক্রিয়াটি স্টেটলেস (stateless)। ব্যবহারকারীকে যাচাই করার জন্য সার্ভারের কোনো অ্যাক্টিভ সেশনের ডাটাবেস প্রয়োজন হয় না। এর জন্য কেবল গণিত বা ম্যাথই যথেষ্ট।
রিপ্লে অ্যাটাক (replay attacks) রোধ করতে AgentAuth ৬০ সেকেন্ডের একটি টাইমস্ট্যাম্প উইন্ডো ব্যবহার করে। যদি কোনো আক্রমণকারী একটি সাইন করা রিকোয়েস্ট চুরি করে, তবে সিগনেচারটি ইনভ্যালিড হওয়ার আগে সেটি ব্যবহার করার জন্য তার কাছে মাত্র এক মিনিট সময় থাকে।
গুরুত্বপূর্ণ পার্থক্য: AgentAuth হলো অথেন্টিকেশনের (Authentication - আপনি কে?) জন্য। এটি অথরাইজেশনের (Authorization - আপনি কী করতে পারবেন?) জন্য নয়।
এটিকে অফিসিয়াল MCP OAuth 2.1 স্পেক (spec) এর সাথে গুলিয়ে ফেলবেন না।
- AgentAuth ব্যবহার করুন যখন আপনি উভয় প্রান্ত নিয়ন্ত্রণ করেন এবং ইউসেজ ট্র্যাকিং বা টিয়ার গেটিংয়ের (tier gating) জন্য স্ট্যাবল আইডি চান।
- MCP OAuth 2.1 ব্যবহার করুন যখন আপনার একজন মানুষের পক্ষ হয়ে থার্ড-পার্টি API-তে পারমিশন বা অনুমতি প্রদান করার প্রয়োজন হয়।
এই দুটি একসাথে কাজ করতে পারে। এজেন্টকে শনাক্ত করতে AgentAuth ব্যবহার করুন এবং বাইরের ডেটাতে তার অ্যাক্সেস ম্যানেজ করতে OAuth ব্যবহার করুন।
AgentAuth একটি মাত্র লগইন স্ক্রিনের প্রয়োজন ছাড়াই একটি প্রাইভেট কী-কে যাচাইযোগ্য এবং স্ট্যাবল আইডেন্টিটিতে রূপান্তরিত করে।
ঐচ্ছিক লার্নিং কমিউনিটি: https://t.me/GyaanSetuAi
