AgentAuth Deep Dive: понимание самоаутентифицируемых UUID
Показывать ИИ-агенту экран входа не имеет смысла.
Агенты не сидят перед браузерами. Они вызывают инструменты в 3 часа ночи. Они работают параллельно. Традиционные методы, такие как OAuth или сессионные куки, не работают, так как они предполагают присутствие человека, который нажмет кнопки подтверждения.
AgentAuth решает эту проблему с помощью одной вещи: UUID.
Он не использует сессии или дополнительную инфраструктуру. Он использует криптографию с открытым ключом, чтобы объединить идентификацию и аутентификацию в одно значение.
Вот как это работает:
• Токен: закрытый ключ (secp256k1). Он остается секретным на вашей машине. • Адрес: публичное значение, производное от токена. • ID: стабильный UUID, построенный на основе адреса.
Поток данных однонаправлен. Вы можете перейти от Токена к ID, но не можете вернуться от ID к Токену. Это делает ID стабильным идентификатором.
Как это предотвращает подмену личности?
Несмотря на то, что ID является публичным, злоумышленник не может его использовать. Каждый запрос включает в себя цифровую подпись.
- Клиент подписывает полезную нагрузку запроса закрытым Токеном.
- Сервер получает подпись и заявленный Адрес.
- Сервер использует подпись, чтобы восстановить Адрес.
- Если восстановленный Адрес совпадает с заявленным Адресом, запрос считается валидным.
Этот процесс не сохраняет состояние (stateless). Серверу не нужна база данных активных сессий для проверки пользователя. Ему нужна только математика.
Для предотвращения атак повторного воспроизведения (replay attacks) AgentAuth использует 60-секундное окно временной метки. Если злоумышленник украдет подписанный запрос, у него будет всего одна минута, чтобы использовать его, прежде чем подпись станет недействительной.
Важное различие: AgentAuth предназначен для аутентификации (кто вы?). Он не предназначен для авторизации (что вам разрешено делать?).
Не путайте это с официальной спецификацией MCP OAuth 2.1.
- Используйте AgentAuth, когда вы контролируете обе стороны и хотите иметь стабильные ID для отслеживания использования или разграничения уровней доступа (tier gating).
- Используйте MCP OAuth 2.1, когда вам нужно делегировать разрешения сторонним API от имени человека.
Они могут работать вместе. Используйте AgentAuth для идентификации агента, а OAuth — для управления его доступом к внешним данным.
AgentAuth превращает закрытый ключ в проверяемую стабильную личность без необходимости использования хотя бы одного экрана входа.
Дополнительное обучающее сообщество: https://t.me/GyaanSetuAi
