AM
TH
เริ่มต้นฟรี
เมนู
คุณสมบัติ

การยืนยันตัวตน

วิธีการยืนยันตัวตนด้วยรหัสผ่านและ magic link สำหรับตรวจสอบผู้ใช้อย่างปลอดภัย

authentication passwords magic-links security

การยืนยันตัวตน

AM จัดการการตรวจสอบข้อมูลรับรอง การแฮ็ชรหัสผ่าน และ magic link ให้ทั้งหมด เพื่อให้คุณโฟกัสกับตรรกะของแอปได้เต็มที่

เลือกวิธีที่เหมาะกับผู้ใช้ของคุณได้ ทั้งรหัสผ่านแบบดั้งเดิมสำหรับองค์กร หรือ magic link สำหรับแอปผู้บริโภค

วิธีการยืนยันตัวตน

อีเมล + รหัสผ่าน

ข้อมูลรับรองถูกแฮ็ชด้วย PBKDF2 ผู้ใช้ลงทะเบียนด้วยอีเมลและรหัสผ่าน แล้วใช้ชุดเดียวกันในการยืนยันตัวตน

User ──▶ Email + Password ──▶ PBKDF2 Verify ──▶ Issue Tokens

ยืนยันตัวตนแบบไม่ใช้รหัสผ่านผ่านลิงก์อีเมลใช้ครั้งเดียว ผู้ใช้คลิกลิงก์เพื่อเข้าสู่ระบบ

อีเมลAMผู้ใช้อีเมลAMผู้ใช้POST /auth/send-magic-linkส่งลิงก์คลิกลิงก์POST /auth/sign-in-with-tokenAccess + Refresh tokens

รีเซ็ตรหัสผ่าน

กระบวนการกู้คืนอย่างปลอดภัยเมื่อผู้ใช้ลืมข้อมูลรับรอง:

  1. ผู้ใช้ขอรีเซ็ตผ่าน /auth/send-password-reset
  2. ระบบส่งโทเคนที่มีเวลาหมดอายุไปยังอีเมลที่ยืนยันแล้ว
  3. ผู้ใช้ตั้งรหัสผ่านใหม่ผ่าน /auth/reset-password

อายุโทเคน

โทเคนค่าปริยายวัตถุประสงค์
Access Token1 ชั่วโมงใช้สำหรับการอนุญาตกับ API
Refresh Token14 วันใช้ขอ access token ใหม่
CSRF TokenSessionป้องกันการโจมตีข้ามไซต์

สามารถตั้งค่าอายุได้แยกตามแต่ละไคลเอนต์

ความปลอดภัย

  • PBKDF2 Hashing: มาตรฐานอุตสาหกรรมสำหรับเก็บรหัสผ่าน
  • Rate Limiting: ป้องกันการโจมตีแบบ brute force
  • CSRF Protection: บังคับใช้กับคำขอที่เปลี่ยนสถานะ
  • Secure Cookies: รองรับตัวเลือก HttpOnly, Secure, SameSite

ที่เกี่ยวข้อง

  • Auth - เอ็นด์พอยต์ auth
  • OAuth - OAuth2/OIDC flows
  • ผู้ใช้ - ทรัพยากรผู้ใช้
ก่อนหน้า
การเชื่อมต่อ Backend

การตรวจสอบโทเคนผ่าน JWKS และ OIDC discovery สำหรับบริการ backend ของคุณ

ถัดไป
การสมัครสมาชิก

การเชื่อมต่อ Stripe subscriptions พร้อม checkout, portal, sync และการจัดการ webhook