auth.md — un protocolo abierto para que los agentes registren a usuarios en su nombre

xguru · 2026-06-26T09:31:02+09:00

Estándar de archivo auth.md alojado por cada servicio en la raíz de su propio dominio Le indica al agente cómo registrar a un usuario en su nombre, para que el agente pueda registrarlo sin un formulario de alta separado El archivo incluye los flows compatibles, los scopes existentes y el método de registro del servicio Consta de tres actores agent: la entidad que actúa en nombre del usuario agent provider: el IdP que emite la aserción de identidad ID-JAG service: la entidad que acepta la aserción y emite credenciales El agente obtiene auth.md, elige un flow compatible y luego presenta una verified identity assertion o realiza un code verification claim dirigido al usuario Comercialmente se presentan dos métodos de registro, pero en la implementación en realidad son tres, incluyendo el anónimo Agent verified: el IdP del agente garantiza al usuario; no hay intervención humana User claimed: no requiere provider; el usuario confirma, tras iniciar sesión, el código mostrado por el agente. Usa una claim ceremony estilo RFC 8628 (método de device flow) Anonymous Registration: el agente primero opera con pre-claim scope y, cuando el usuario reclama la propiedad, se eleva a un post-claim token La mayoría de las apps admite ambos métodos y el agente elige según la situación Al agente se le emite un scoped access token vinculado al usuario, de vida corta y revocable Se emite sobre el estándar OAuth, por lo que se puede reutilizar tal cual la autenticación de APIs existente Emisión de ID-JAG → intercambio por access_token mediante RFC 7523 JWT-bearer grant, operando con descubrimiento /.well-known/oauth-authorization-server Lo desarrolla WorkOS, pero es un protocolo abierto que no depende de la infraestructura de WorkOS Combina estándares OAuth existentes (Protected Resource Metadata, ID-JAG) para permitir publicar y leer sin cuenta Las apps y servicios pueden controlar directamente qué flow aceptan y qué credenciales emiten Además de la especificación, ofrece implementaciones de ejemplo tanto del agent provider como del service, junto con el archivo AUTH.md que cumple el rol de skill manifest, para poder probarlo en la práctica Varios servicios como Cloudflare, Firecrawl, Resend y monday.com ya lo adoptaron Licencia MIT

(workos.com)

6 puntos por xguru 5 시간 전 | 2 comentarios | Compartir por WhatsApp

Estándar de archivo auth.md alojado por cada servicio en la raíz de su propio dominio
Le indica al agente cómo registrar a un usuario en su nombre, para que el agente pueda registrarlo sin un formulario de alta separado
El archivo incluye los flows compatibles, los scopes existentes y el método de registro del servicio
Consta de tres actores
- agent: la entidad que actúa en nombre del usuario
- agent provider: el IdP que emite la aserción de identidad ID-JAG
- service: la entidad que acepta la aserción y emite credenciales
El agente obtiene auth.md, elige un flow compatible y luego presenta una verified identity assertion o realiza un code verification claim dirigido al usuario
Comercialmente se presentan dos métodos de registro, pero en la implementación en realidad son tres, incluyendo el anónimo
- Agent verified: el IdP del agente garantiza al usuario; no hay intervención humana
- User claimed: no requiere provider; el usuario confirma, tras iniciar sesión, el código mostrado por el agente. Usa una claim ceremony estilo RFC 8628 (método de device flow)
- Anonymous Registration: el agente primero opera con pre-claim scope y, cuando el usuario reclama la propiedad, se eleva a un post-claim token
- La mayoría de las apps admite ambos métodos y el agente elige según la situación
Al agente se le emite un scoped access token vinculado al usuario, de vida corta y revocable
Se emite sobre el estándar OAuth, por lo que se puede reutilizar tal cual la autenticación de APIs existente
- Emisión de ID-JAG → intercambio por access_token mediante RFC 7523 JWT-bearer grant, operando con descubrimiento /.well-known/oauth-authorization-server
Lo desarrolla WorkOS, pero es un protocolo abierto que no depende de la infraestructura de WorkOS
- Combina estándares OAuth existentes (Protected Resource Metadata, ID-JAG) para permitir publicar y leer sin cuenta
Las apps y servicios pueden controlar directamente qué flow aceptan y qué credenciales emiten
Además de la especificación, ofrece implementaciones de ejemplo tanto del agent provider como del service, junto con el archivo AUTH.md que cumple el rol de skill manifest, para poder probarlo en la práctica
Varios servicios como Cloudflare, Firecrawl, Resend y monday.com ya lo adoptaron
Licencia MIT

2 comentarios

bichi 2 시간 전

¿Y por qué no es AUTH.md?

laeyoung 3 시간 전

auth.md de Firecrawl y Resend.

Cloudflare aparece como el primer caso de uso en la página de presentación del protocolo, pero si haces clic para entrar, sale not found :(.

auth.md — un protocolo abierto para que los agentes registren a usuarios en su nombre

Lecturas relacionadas

2 comentarios