OrbitID
首个完全无密码 SSO。Passkey 优先。
概览
- 状态
- Alpha
- 技术栈
- TypeScript · OIDC/OAuth2 · WebAuthn · Postgres/SQLite
- 运行环境
- Edge · Serverless · 容器
- 源码
- 私有(仅限邀请)
摘要
OrbitID 是一个默认安全的 OIDC / OAuth2 身份提供者,基于 Web 标准 API(Fetch、WebCrypto、Streams)构建,同一核心可在 Edge、Serverless 和容器运行时中运行。Passkey 优先、无密码,采用邀请制注册。
亮点
- 仅支持授权码流程(Authorization Code Flow),强制 PKCE (S256);拒绝隐式流程(Implicit)与资源所有者密码凭证流程(ROPC)。
- Passkey (WebAuthn) 优先、无密码。注册为邀请制——无公开自助注册通道。
- 数据库无关:可运行于 Postgres 或 SQLite(libSQL / Turso)。
- 刷新令牌轮换(Refresh Token Rotation)并支持重用检测;默认签发不透明访问令牌,声明从 UserInfo 端点获取。
联系
如有问题、集成需求、安全报告或研究合作意向,请发邮件至 contact@luminx.one,或查看 /security 了解敏感信息披露流程。