ory/kratos
GitHub: ory/kratos
Ory Kratos 是一个 API 优先的云原生身份管理与认证系统,帮助开发团队用标准化流程替代自建或第三方身份服务。
Stars: 13708 | Forks: 1155
聊天 · 讨论 · 简报 · 文档 · 试用 Ory Network · 招聘
Ory Kratos 是一个 API 优先的身份和用户管理系统,专为云原生 应用程序设计。它将登录、注册、恢复、验证和 配置文件管理流程集中起来,以便您的服务可以直接调用它们,而无需重复实现。 **目录** - [什么是 Ory Kratos?](#what-is-ory-kratos) - [为什么选择 Ory Kratos](#why-ory-kratos) - [从 Auth0、Okta 及类似提供商迁移](#migrating-from-auth0-okta-and-similar-providers) - [部署选项](#deployment-options) - [在 Ory Network 上使用 Ory Kratos](#use-ory-kratos-on-the-ory-network) - [自托管 Ory Kratos](#self-host-ory-kratos) - [快速开始](#quickstart) - [谁在使用它?](#who-is-using-it) ## 什么是 Ory Kratos? Ory Kratos 是一个 API 优先的身份和用户管理系统,遵循 [云架构最佳实践](https://www.ory.com/docs/ecosystem/software-architecture-philosophy)。 它专注于几乎每个应用程序都需要的核心身份工作流: - 自助登录和注册 - 账户验证和恢复 - 多因素认证 (MFA) - 个人资料和账户管理 - 身份 schema 和特征 - 用于生命周期管理的 Admin API 我们建议从 [Ory Kratos 介绍文档](https://www.ory.com/kratos/docs/)开始,以了解更多关于其架构、功能集以及它与其他系统的比较。 ### 为什么选择 Ory Kratos Ory Kratos 旨在: - 从您的应用程序代码中剥离身份逻辑,并通过 HTTP API 暴露 - 通过基于浏览器的流程和原生应用流程,与任何 UI 框架良好配合 - 能够扩展以适应大量身份和设备 - 与 Ory 技术栈的其他部分集成,以实现 OAuth2、OpenID Connect 和访问控制 - 融入现代云原生环境,例如 Kubernetes 和托管平台 ## 从 Auth0、Okta 及类似提供商迁移 如果您正在从 Auth0、Okta 或其他使用基于 OAuth2 / OpenID Connect 登录的身份提供商迁移,请考虑将 **Ory Hydra + Ory Kratos** 结合使用: - **Ory Hydra** 作为 OAuth2 和 OpenID Connect 提供商,可以取代现有 IdP 的大部分授权服务器和 token 发放功能。 - **Ory Kratos** 提供身份、凭证和面向用户的流程(登录、注册、恢复、验证、配置文件管理)。 在协议层面,这种组合通常是 OAuth2 和 OpenID Connect 功能的直接替代品。在实践中,您只需更新客户端配置和 endpoint 将其指向 Hydra,将身份迁移到 Kratos,并让您的应用程序继续使用它们已经在使用的相同 OAuth2 / OIDC 协议即可。 ## 部署选项 您可以通过两种主要方式运行 Ory Kratos: - 作为 Ory Network 上的托管服务 - 作为由您自己控制的自托管服务,可选择是否使用 Ory Enterprise License ### 在 Ory Network 上使用 Ory Kratos [Ory Network](https://www.ory.com/cloud) 是在生产环境中使用 Ory 服务的最快方式。**Ory Identities** 由开源的 Ory Kratos 服务器提供支持,并且在 API 上兼容。 Ory Network 提供: - 能够扩展至数十亿用户和设备的身份和凭证管理 - 针对密码密钥、生物识别、社交登录、SSO 和多因素认证的注册、登录和账户管理流程 - 预构建的登录、注册和账户管理页面及组件 - 用于单点登录、API 访问和机器对机器授权的 OAuth2 和 OpenID Connect - 基于 Zanzibar 模型并使用 Ory Permission Language 的低延迟权限检查 - 考虑了数据本地性和合规性的 GDPR 友好型存储 - 用于管理和运维的基于 Web 的 Ory Console 和 Ory CLI - 与开源服务器兼容的云原生 API - 公平的、基于使用量的[定价](https://www.ory.com/pricing) ### 自托管 Ory Kratos 您可以自行运行 Ory Kratos,以获得对基础设施、部署和定制的完全控制。 [安装指南](https://www.ory.com/kratos/docs/install)说明了如何: - 在 Linux、macOS、Windows 和 Docker 上安装 Kratos - 配置诸如 PostgreSQL、MySQL 和 CockroachDB 等数据库 - 部署到 Kubernetes 和其他编排系统 - 从源码构建 Kratos 本指南使用开源发行版,让您无需许可证要求即可入门。它非常适合想要在没有 SLA 的情况下进行实验、原型设计或运行非重要工作负载的个人、研究人员、黑客和公司。您将获得完整的 core 引擎,并且可以自由检查、扩展并从源码构建它。 如果您将 Kratos 作为业务关键系统的一部分运行(例如为所有用户提供登录和账户恢复),您应该使用商业协议以降低运营和安全风险。**Ory Enterprise License (OEL)** 构建于自托管的 Kratos 之上,并提供: - 开源版本中不可用的额外企业功能,如 SCIM、SAML、组织登录("SSO")、CAPTCHAs 等 - 包含服务级别协议的定期安全发布,包括 CVE 补丁 - 对高级扩展、multi-tenancy 和复杂部署的支持 - 具有 SLA、直接联系工程师和入门帮助的高级支持选项 - 访问私有 Docker registry,其中包含经过审查、频繁更新的最新企业构建版本 为了获得有保证的 CVE 修复、当前的企业构建版本、高级功能以及生产环境中的支持,您需要有效的 [Ory Enterprise License](https://www.ory.com/ory-enterprise-license)以及 Ory Enterprise Docker registry 的访问权限。了解更多信息, 请[联系 Ory 团队](https://www.ory.com/contact/)。 ## 快速开始 安装 [Ory CLI](https://www.ory.com/docs/guides/cli/installation) 并 创建一个新项目以试用 Ory Identities。 ``` # 如果你还没有安装 Ory CLI,请先安装: bash <(curl https://raw.githubusercontent.com/ory/meta/master/install.sh) -b . ory sudo mv ./ory /usr/local/bin/ # 登录或注册 ory auth # 创建一个新项目 ory create project --create-workspace "Ory Open Source" --name "GitHub Quickstart" --use-project ory open ax login ``` ### 谁在使用它? Ory 社区站在个人、公司和维护者的肩膀上。Ory 团队感谢每一位参与者——从提交错误报告和功能请求,到贡献补丁和文档。Ory 社区拥有超过 50,000 名成员,并且还在不断壮大。Ory 技术栈每天在数千家公司中保护着超过 70 亿次的 API 请求。如果没有你们每一个人,这一切都不可能实现! 以下列表代表了那些一路上陪伴我们,并对我们的生态系统做出杰出贡献的公司。_如果您认为您的公司应该在这里占有一席之地,请立即通过 office@ory.com 联系我们_!| Name | Logo | Website | Case Study |
|---|---|---|---|
| OpenAI |
|
openai.com | OpenAI Case Study |
| Fandom |
|
fandom.com | Fandom Case Study |
| Lumin |
|
luminpdf.com | Lumin Case Study |
| Sencrop |
|
sencrop.com | Sencrop Case Study |
| OSINT Industries |
|
osint.industries | OSINT Industries Case Study |
| HGV |
|
hgv.it | HGV Case Study |
| Maxroll |
|
maxroll.gg | Maxroll Case Study |
| Zezam |
|
zezam.io | Zezam Case Study |
| T.RowePrice |
|
troweprice.com | |
| Mistral |
|
mistral.ai | |
| Axel Springer |
|
axelspringer.com | |
| Hemnet |
|
hemnet.se | |
| Cisco |
|
cisco.com | |
| Presidencia de la República Dominicana |
|
presidencia.gob.do | |
| Moonpig |
|
moonpig.com | |
| Booster |
|
choosebooster.com | |
| Zaptec |
|
zaptec.com | |
| Klarna |
|
klarna.com | |
| Raspberry PI Foundation |
|
raspberrypi.org | |
| Tulip |
|
tulip.com | |
| Hootsuite |
|
hootsuite.com | |
| Segment |
|
segment.com | |
| Arduino |
|
arduino.cc | |
| Sainsbury's |
|
sainsburys.co.uk | |
| Contraste |
|
contraste.com | |
| inMusic |
|
inmusicbrands.com | |
| Buhta |
|
buhta.com | |
| Amplitude |
|
amplitude.com | |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
标签:EVTX分析, Go, OIDC, Python脚本, Ruby工具, SAML, 子域名突变, 日志审计, 测试用例, 请求拦截, 身份与访问管理