AgentAuth Deep Dive: Zrozumienie samoautentykujących się identyfikatorów UUID
Pokazywanie agentowi AI ekranu logowania nie ma sensu.
Agenci nie siedzą przed przeglądarkami. Wywołują narzędzia o 3 nad ranem. Działają równolegle. Tradycyjne metody, takie jak OAuth czy ciasteczka sesyjne, zawodzą, ponieważ zakładają obecność człowieka, który kliknie przyciski zgody.
AgentAuth rozwiązuje ten problem za pomocą jednej rzeczy: identyfikatora UUID.
Nie korzysta z sesji ani dodatkowej infrastruktury. Wykorzystuje kryptografię klucza publicznego, aby połączyć tożsamość i uwierzytelnianie w jedną wartość.
Oto jak to działa:
• Token: Klucz prywatny (secp256k1). Pozostaje on tajny na Twoim urządzeniu. • Adres: Wartość publiczna wyprowadzona z tokena. • ID: Stabilny UUID zbudowany na podstawie adresu.
Przepływ odbywa się w jedną stronę. Możesz przejść od Tokena do ID, ale nie możesz przejść od ID z powrotem do Tokena. Dzięki temu ID staje się stabilną tożsamością.
Jak zapobiega podszywaniu się?
Mimo że ID jest publiczne, napastnik nie może go użyć. Każde żądanie zawiera podpis cyfrowy.
- Klient podpisuje payload żądania prywatnym Tokenem.
- Serwer otrzymuje podpis oraz deklarowany Adres.
- Serwer wykorzystuje podpis, aby odzyskać Adres.
- Jeśli odzyskany Adres zgadza się z deklarowanym Adresem, żądanie jest ważne.
Ten proces jest bezstanowy (stateless). Serwer nie potrzebuje bazy danych aktywnych sesji, aby zweryfikować użytkownika. Potrzebuje jedynie matematyki.
Aby zapobiec atakom typu replay, AgentAuth stosuje 60-sekundowe okno czasowe (timestamp). Jeśli napastnik ukradnie podpisane żądanie, ma tylko jedną minutę na jego wykorzystanie, zanim podpis stanie się nieważny.
Ważne rozróżnienie: AgentAuth służy do uwierzytelniania (Authentication – kim jesteś?). Nie służy do autoryzacji (Authorization – co wolno Ci robić?).
Nie należy mylić tego z oficjalną specyfikacją MCP OAuth 2.1.
- Używaj AgentAuth, gdy kontrolujesz obie strony i chcesz mieć stabilne ID do śledzenia użycia lub ograniczania dostępu do poziomów (tier gating).
- Używaj MCP OAuth 2.1, gdy musisz delegować uprawnienia do zewnętrznych API w imieniu człowieka.
Oba rozwiązania mogą współpracować. Użyj AgentAuth do identyfikacji agenta, a OAuth do zarządzania jego dostępem do zewnętrznych danych.
AgentAuth przekształca klucz prywatny w weryfikowalną, stabilną tożsamość bez potrzeby posiadania choćby jednego ekranu logowania.
Opcjonalna społeczność edukacyjna: https://t.me/GyaanSetuAi
