SharkAuth

SharkAuth 是一款专为自主智能体（Agent）时代设计的开源认证服务器。传统认证提供商主要为用户和应用程序构建，无法满足智能体委托场景下的安全需求。SharkAuth 提供了 DPoP 绑定的智能体访问、可撤销的 may_act 授权、委托链、级联撤销、grant_id 审计追踪等功能，默认使用 SQLite，并提供一个自托管的 Go 二进制文件，部署简单高效。

核心功能

SharkAuth 的核心是解决智能体之间的委托认证问题。它允许一个智能体代表另一个智能体或用户执行操作，同时确保整个委托过程可审计、可撤销。通过 DPoP（Demonstration of Proof-of-Possession）技术，将访问令牌与智能体的密钥绑定，防止令牌泄露后被滥用。may_act 授权机制让用户或智能体可以授予其他智能体有限的操作权限，并随时撤销。

主要特性

• DPoP 绑定的智能体访问：令牌与智能体私钥绑定，即使令牌泄露也无法被其他实体使用。
• 可撤销的 may_act 授权：支持细粒度的委托授权，并允许发起方随时撤销授权。
• 委托链与级联撤销：支持多级委托，撤销上级授权时自动级联撤销所有下级授权。
• grant_id 审计追踪：每个授权都有唯一 ID，便于追踪委托关系和操作记录。
• 轻量级部署：默认使用 SQLite，单 Go 二进制文件，无需外部依赖，适合边缘或自托管场景。

适用场景

SharkAuth 适用于需要智能体间安全协作的 AI 应用、自动化工作流、物联网设备委托、去中心化身份系统等。例如，一个 AI 助手可以代表用户调用多个 API，而用户可以通过 SharkAuth 精细控制每个 API 的访问权限和有效期。