auth.md — um protocolo aberto para agentes cadastrarem usuários em seu nome

xguru · 2026-06-26T09:31:02+09:00

Padrão de arquivo auth.md hospedado por cada serviço na raiz do próprio domínio Informa ao agente como registrar o usuário em seu nome, permitindo que o agente cadastre o usuário sem um formulário de inscrição separado O arquivo inclui os flows compatíveis, os scopes existentes e a forma de registro no serviço Composto por três partes agent: entidade que atua em nome do usuário agent provider: IdP que emite a asserção de identidade ID-JAG service: entidade que aceita a asserção e emite credenciais O agente busca o auth.md, escolhe um flow compatível e então apresenta uma verified identity assertion ou executa uma code verification claim voltada ao usuário Em termos de marketing, o método de registro é apresentado em duas formas, mas na implementação há três incluindo o modo anônimo Agent verified: o IdP do agente garante o usuário, sem intervenção humana User claimed: não precisa de provider; depois de fazer login, o usuário confirma o código exibido pelo agente. Usa uma claim ceremony no estilo RFC 8628 (modelo de device flow) Anonymous Registration: o agente primeiro opera com pre-claim scope e, quando o usuário reivindica a titularidade, é promovido para um post-claim token A maioria dos apps oferece suporte a ambas as formas, e o agente escolhe conforme a situação Para o agente, é emitido um scoped access token vinculado ao usuário, com vida curta e passível de revogação Emitido sobre o padrão OAuth, permitindo reaproveitar a autenticação de APIs já existente Emissão de ID-JAG → troca por access_token via grant JWT-bearer da RFC 7523, operando com discovery em /.well-known/oauth-authorization-server Escrito pela WorkOS, mas é um protocolo aberto que não depende da infraestrutura da WorkOS Combina padrões OAuth existentes (Protected Resource Metadata, ID-JAG) para permitir publicar e ler sem conta Apps/serviços podem controlar diretamente quais flows aceitam e quais credenciais vão emitir Além da especificação, também fornece implementações de exemplo tanto para agent provider quanto para service e um arquivo AUTH.md que faz o papel de skill manifest, permitindo testar na prática Vários serviços, como Cloudflare, Firecrawl, Resend e monday.com, já adotaram Licença MIT

(workos.com)

6 pontos por xguru 5 시간 전 | 2 comentários | Compartilhar no WhatsApp

Padrão de arquivo auth.md hospedado por cada serviço na raiz do próprio domínio
Informa ao agente como registrar o usuário em seu nome, permitindo que o agente cadastre o usuário sem um formulário de inscrição separado
O arquivo inclui os flows compatíveis, os scopes existentes e a forma de registro no serviço
Composto por três partes
- agent: entidade que atua em nome do usuário
- agent provider: IdP que emite a asserção de identidade ID-JAG
- service: entidade que aceita a asserção e emite credenciais
O agente busca o auth.md, escolhe um flow compatível e então apresenta uma verified identity assertion ou executa uma code verification claim voltada ao usuário
Em termos de marketing, o método de registro é apresentado em duas formas, mas na implementação há três incluindo o modo anônimo
- Agent verified: o IdP do agente garante o usuário, sem intervenção humana
- User claimed: não precisa de provider; depois de fazer login, o usuário confirma o código exibido pelo agente. Usa uma claim ceremony no estilo RFC 8628 (modelo de device flow)
- Anonymous Registration: o agente primeiro opera com pre-claim scope e, quando o usuário reivindica a titularidade, é promovido para um post-claim token
- A maioria dos apps oferece suporte a ambas as formas, e o agente escolhe conforme a situação
Para o agente, é emitido um scoped access token vinculado ao usuário, com vida curta e passível de revogação
Emitido sobre o padrão OAuth, permitindo reaproveitar a autenticação de APIs já existente
- Emissão de ID-JAG → troca por access_token via grant JWT-bearer da RFC 7523, operando com discovery em /.well-known/oauth-authorization-server
Escrito pela WorkOS, mas é um protocolo aberto que não depende da infraestrutura da WorkOS
- Combina padrões OAuth existentes (Protected Resource Metadata, ID-JAG) para permitir publicar e ler sem conta
Apps/serviços podem controlar diretamente quais flows aceitam e quais credenciais vão emitir
Além da especificação, também fornece implementações de exemplo tanto para agent provider quanto para service e um arquivo AUTH.md que faz o papel de skill manifest, permitindo testar na prática
Vários serviços, como Cloudflare, Firecrawl, Resend e monday.com, já adotaram
Licença MIT

2 comentários

bichi 2 시간 전

Por que será que isto não é AUTH.md?

laeyoung 3 시간 전

O auth.md da Firecrawl e da Resend.

A Cloudflare aparece como o primeiro caso de adoção na página de apresentação do protocolo, mas, ao clicar e entrar, aparece not found :(.

auth.md — um protocolo aberto para agentes cadastrarem usuários em seu nome

Leituras relacionadas

2 comentários