AgentAuth सखोल विश्लेषण: स्वयं-प्रमाणीकरण (Self-Authenticating) UUID समजून घेणे
AI एजंटला लॉगिन स्क्रीन दाखवणे अर्थहीन आहे.
एजंट ब्राउझरसमोर बसत नाहीत. ते पहाटे ३ वाजताही टूल कॉल्स (tool calls) करू शकतात. ते समांतर (parallel) चालतात. OAuth किंवा सेशन कुकीज (session cookies) सारख्या पारंपारिक पद्धती अपयशी ठरतात कारण त्यामध्ये संमती बटण क्लिक करण्यासाठी मानवी उपस्थितीची अपेक्षा असते.
AgentAuth हे एका गोष्टीद्वारे सोडवते: एक UUID.
हे सेशन किंवा अतिरिक्त इन्फ्रास्ट्रक्चर वापरत नाही. हे ओळख (identity) आणि प्रमाणीकरण (authentication) एकाच मूल्यामध्ये एकत्रित करण्यासाठी पब्लिक-की क्रिप्टोग्राफीचा (public-key cryptography) वापर करते.
ते कसे कार्य करते ते खालीलप्रमाणे आहे:
• टोकन (The Token): एक प्रायव्हेट की (secp256k1). ही तुमच्या मशीनवर गुप्त राहते. • पत्ता (The Address): टोकनपासून मिळवलेले एक सार्वजनिक मूल्य. • आयडी (The ID): पत्त्यापासून तयार केलेला एक स्थिर UUID.
ही प्रक्रिया एकाच दिशेने चालते. तुम्ही टोकनपासून आयडीकडे जाऊ शकता, परंतु आयडीपासून पुन्हा टोकनकडे जाऊ शकत नाही. यामुळे आयडी ही एक स्थिर ओळख बनते.
ते छद्मवेषाद्वारे (impersonation) होणारी फसवणूक कशी रोखते?
जरी आयडी सार्वजनिक असला, तरी आक्रमणकर्ता त्याचा वापर करू शकत नाही. प्रत्येक विनंतीमध्ये (request) डिजिटल स्वाक्षरी (digital signature) असते.
- क्लायंट प्रायव्हेट टोकनसह विनंतीचा पेलोड (request payload) स्वाक्षरी करतो.
- सर्व्हर स्वाक्षरी आणि दावा केलेला पत्ता (Address) प्राप्त करतो.
- सर्व्हर पत्ता पुन्हा मिळवण्यासाठी (recover) स्वाक्षरीचा वापर करतो.
- जर मिळालेला पत्ता दावा केलेल्या पत्त्याशी जुळला, तर ती विनंती वैध असते.
ही प्रक्रिया 'स्टेटलेस' (stateless) आहे. वापरकर्त्याची पडताळणी करण्यासाठी सर्व्हरला सक्रिय सेशन्सच्या डेटाबेसची गरज नसते. त्याला फक्त गणिताची (math) गरज असते.
'रिप्ले अटॅक्स' (replay attacks) रोखण्यासाठी, AgentAuth ६० सेकंदांच्या टाइमस्टॅम्प विंडोचा वापर करते. जर एखाद्या आक्रमणकर्त्याने स्वाक्षरी केलेली विनंती चोरली, तर स्वाक्षरी अवैध होण्यापूर्वी त्याच्याकडे ती वापरण्यासाठी फक्त एक मिनिट असते.
महत्त्वाचा फरक: AgentAuth हे प्रमाणीकरणासाठी (Authentication - तुम्ही कोण आहात?) आहे. ते अधिकारांसाठी (Authorization - तुम्हाला काय करण्याची परवानगी आहे?) नाही.
याची अधिकृत MCP OAuth 2.1 स्पेसिफिकेशनशी गल्लत करू नका.
- जेव्हा तुमचे दोन्ही टोकांवर नियंत्रण असते आणि तुम्हाला वापराचा मागोवा घेण्यासाठी किंवा टियर गेटिंगसाठी (tier gating) स्थिर आयडी हवे असतात, तेव्हा AgentAuth वापरा.
- जेव्हा तुम्हाला मानवाच्या वतीने तृतीय-पक्ष (third-party) API ला परवानग्या द्याव्या लागतात, तेव्हा MCP OAuth 2.1 वापरा.
हे दोन्ही एकत्र काम करू शकतात. एजंटची ओळख पटवण्यासाठी AgentAuth वापरा आणि बाह्य डेटावरील त्याचा प्रवेश व्यवस्थापित करण्यासाठी OAuth वापरा.
AgentAuth एका सिंगल लॉगिन स्क्रीनची गरज न ठेवता प्रायव्हेट कीचे रूपांतर एका पडताळण्यायोग्य, स्थिर ओळखीमध्ये करते.
Optional learning community: https://t.me/GyaanSetuAi
