Сервер OIDC/OAuth 2.1 с Passkeys, федерацией для 10+ провайдеров (Google, GitHub, Telegram, VK, Yandex, Mail.ru, OK.ru, Apple, Microsoft, Discord), авторизацией ReBAC через OpenFGA, персональными токенами и API-ключами, журналом аудита, управлением учётными данными через Vault. Все сервисы Arcanada делегируют идентичность сюда — никаких собственных таблиц пользователей.
Что умеет
- OIDC / OAuth 2.1 с PKCE
- Passkeys (WebAuthn) и федерация (10+ провайдеров)
- Авторизация ReBAC через OpenFGA
- Персональные токены доступа (arc_pat_*)
- Сервисные аккаунты с выдачей учётных данных через Vault
Текущий уровень автономии
L2
Слабое звено
Phase 0 (только фундамент) — минимальный рантайм, /health ещё нет, мониторинг не подключён.
Roadmap до L4
- L2 — /health endpoint, классифицированные ошибки, отчёт о деплое в Ops Bot.
- L3 — структурированные pino-логи в Loki, сигнал живости, приёмочная проверка после деплоя, проверка учётных данных при старте.
- L4 — предохранитель для Vault, резервный PostgreSQL (HA), журнал восстановления, жёсткий лимит запросов на всех эндпойнтах.