Kestro hat genau einen Ort für Authentifizierung: auth.kestro.io.
Warum nicht in jeder App?
Ein Angriffsziel statt zehn
Login, Passkeys, MFA und der OIDC-Provider leben an einer Stelle. Damit muss eine Codebasis wirklich sicher sein — statt zehn, die jede für sich Fehler machen könnten.
Folge für neue Apps
Eine neue *.kestro.io-App bekommt keinen Login-Code. Sie wird hinter eine
Cloudflare-Access-Policy gehängt und liest serverseitig das CF_Authorization-JWT.
// In jeder Nicht-Auth-App — verifizieren, nicht selbst einloggen:
const { payload } = await jwtVerify(jwt, JWKS, { issuer, audience });So sehen alle Apps überall dieselben Rollen, Lizenzen und MFA-Methoden — kein Drift, keine doppelte Wahrheit.