AgentAuth Deep Dive: Self-Authenticating UUIDs को समझना
किसी AI एजेंट को लॉगिन स्क्रीन दिखाना बेमतलब है।
एजेंट ब्राउज़र के सामने नहीं बैठते। वे रात के 3 बजे भी tool calls करते हैं। वे समानांतर (parallel) रूप से चलते हैं। OAuth या session cookies जैसे पारंपरिक तरीके विफल हो जाते हैं क्योंकि वे यह मानकर चलते हैं कि सहमति बटन (consent buttons) पर क्लिक करने के लिए कोई इंसान मौजूद है।
AgentAuth इसे एक चीज़ का उपयोग करके हल करता है: एक UUID।
यह sessions या अतिरिक्त इंफ्रास्ट्रक्चर का उपयोग नहीं करता है। यह identity और authentication को एक ही वैल्यू में समाहित करने के लिए public-key cryptography का उपयोग करता है।
यह इस प्रकार काम करता है:
• The Token: एक private key (secp256k1)। यह आपकी मशीन पर गुप्त रहती है। • The Address: टोकन से प्राप्त एक public value। • The ID: एड्रेस से बना एक stable UUID।
यह फ्लो एक ही दिशा में चलता है। आप Token से ID पर जा सकते हैं, लेकिन ID से वापस Token पर नहीं जा सकते। यह ID को एक stable identity बनाता है।
यह impersonation को कैसे रोकता है?
भले ही ID public हो, एक हमलावर इसका उपयोग नहीं कर सकता। हर request में एक digital signature शामिल होता है।
- क्लाइंट private Token के साथ request payload को sign करता है।
- सर्वर signature और दावा किया गया Address प्राप्त करता है।
- सर्वर Address को रिकवर करने के लिए signature का उपयोग करता है।
- यदि रिकवर किया गया Address, दावे किए गए Address से मेल खाता है, तो request वैध है।
यह प्रक्रिया stateless है। यूजर को सत्यापित करने के लिए सर्वर को active sessions के डेटाबेस की आवश्यकता नहीं होती है। इसे केवल गणित (math) की आवश्यकता होती है।
Replay attacks को रोकने के लिए, AgentAuth 60-सेकंड के timestamp window का उपयोग करता है। यदि कोई हमलावर एक signed request चुरा लेता है, तो signature के अमान्य होने से पहले उसके पास इसका उपयोग करने के लिए केवल एक मिनट होता है।
महत्वपूर्ण अंतर: AgentAuth Authentication (आप कौन हैं?) के लिए है। यह Authorization (आपको क्या करने की अनुमति है?) के लिए नहीं है।
इसे आधिकारिक MCP OAuth 2.1 spec के साथ भ्रमित न करें।
- AgentAuth का उपयोग तब करें जब आप दोनों सिरों (ends) को नियंत्रित करते हैं और usage tracking या tier gating के लिए stable IDs चाहते हैं।
- MCP OAuth 2.1 का उपयोग तब करें जब आपको किसी इंसान की ओर से third-party APIs को permissions सौंपने (delegate करने) की आवश्यकता हो।
दोनों मिलकर काम कर सकते हैं। एजेंट की पहचान करने के लिए AgentAuth का उपयोग करें और बाहरी डेटा तक उसकी पहुंच (access) प्रबंधित करने के लिए OAuth का उपयोग करें।
AgentAuth बिना किसी लॉगिन स्क्रीन की आवश्यकता के एक private key को एक सत्यापन योग्य (verifiable), stable identity में बदल देता है।
Optional learning community: https://t.me/GyaanSetuAi
