background

Du kan bygga din egen auth på en dag. Det är fällan.

Dussintals B2B-team berättade samma historia för oss. Det börjar som en enkel inloggningssida. Sedan börjar riktig trafik passera, och plötsligt blir det identitetsinfrastruktur: grunden som hela din produkt vilar på.

Börja gratis med Logto
Prata med vårt team
banner

Det såg ut som en funktion. Det lämnade efter sig en hel identitetsmodell.

Alla egenbyggda auth-lösningar börjar med några få rader kod. Problemen börjar efter lansering, när varje litet beslut tyst förstelnar till den modell hela din produkt antar är sann.

Dag ett: fyrtio rader kod

E-post, lösenord, hasha det, lagra det, jämför vid inloggning. Rent och klart.
Det är precis därför varje team börjar här, och varför auth ser ut som något du kan få klart på en eftermiddag.

Dag tvåhundra: en tyst identitetsmodell

Vem räknas som användare. Vilken organisation de tillhör. Vilken session som fortfarande är tillförlitlig. Hur åtkomst tas bort.
Rate limits, MFA och dess återställningsflöde, sessioner, refresh-tokens, en organisationsmodell som är mycket mer än en is_admin-boolean. Varje svar du levererar blir en regel produkten nu tyst antar.

År fem: en grund du inte kan röra

Att byta ut inloggningssidan på papper betydde att bygga om identitetsgrunden i kod.
En SaaS med 20 år på nacken försökte gå till e-post-som-användarnamn. Behörighetskontroller fanns i hundratals moduler. Ingen ville godkänna, så det drog ut på tiden tills det inte gick längre.

Hemmasnickrad auth fungerar fint – tills företaget utvecklas

Den loggar in folk i flera år utan incidenter. Sedan gör en affärsförändring att “tillräckligt” plötsligt blir “i vägen” över en natt. Dessa tre kommer nästan alltid för varje produkt som växer.

figure

Enterprise-kunder börjar fråga efter SSO

Den första stora affären landar och inköp vill ha SSO via sitt eget Entra eller Google Workspace. Sedan både SAML och OIDC, eftersom nästa kund använder något annat. Varje kunds identitetslösning är olika, och nästan inget arbete kan återanvändas.

  • Olika protokoll, fältmappningar och certifikatsbyten för varje kund
  • SSO byggs inte en gång. Du bygger om det för varje företag du skriver kontrakt med
  • Det blir snabbt handarbete som bara en ingenjör förstår från början till slut
Läs mer
figure

Identitet som började utspridd måste nu bli enhetlig

Uppdelat per organisation, per produkt, ofta ärvt via förvärv. ”Enhetlig identitet” låter som en funktion; i kod betyder det att omdefiniera vad som räknas som en användare och en organisation.

  • Kan en e-postadress tillhöra flera organisationer? Hur migrerar du gamla användarnamn?
  • Nio produkter från förvärv betyder nio auth-stackar som körs parallellt
  • Avsluta en avgång på alla samtidigt och granska allt på ett ställe
Läs mer
figure

AI-agenter och CLI-er börjar agera för användares räkning

Det är inte längre bara personer i en webbläsare. Agenter, MCP-servrar och kommandorader påstår sig alla agera för en användare. Och din auth vet bara hur man loggar in en person på en sida.

  • Vem utfärdas token till, med vilket scope och vilken audience?
  • Bevilja bara ett verktyg eller en datadel, och dra sedan tillbaka det
  • MCP och CLI-access bygger på OAuth, inte på ett inloggningsformulär
Läs mer
background

Den verkliga kostnaden är inte att bygga. Det är att bära det i åratal.

Den första versionen är billig: några ingenjörer, några veckor, klart. Sedan matar du det varje år med ingenjörstid som egentligen låg till ditt kärnsystem.

Fakturan ändrades – men inte kostnaden

Du får aldrig en faktura som säger ”autentisering.”
Du betalar i personmånader, missade deadlines, säkerhetsskuld och omarbete. En medlemsorganisation byggde sin egen för att undvika licensavgift; fem år senare hade underhållet kostat mer än att köpa färdigt någonsin hade gjort.

Det vilar tyst på en eller två personer

Den kritiska kunskapen finns i någons huvud, inte i dokumentationen.
Vilken kund är konfigurerad hur, varför en gamla migration gjordes på ett visst sätt. När den personen är borta stannar försäljningsflödet. När de slutar går kunskapen ut genom dörren.

Var vill du ha dina ingenjörer?

Ingen kund betalar dig mer för att du skrev din egen OAuth-server.
Auth måste vara pålitligt. Men ”pålitligt” är inte samma sak som ”byggt av dig.” För de flesta produkter är det ett kärnberoende, inte en unik differentiering. Det är stor skillnad på de två.

Om du inte bygger det, hur väljer du?

De flesta mogna auth-lösningar täcker redan funktionerna: SSO, MFA, organisationer, enhetlig inloggning, agent-tillgång. Den verkliga skillnaden är om du kan lämna. Klättra inte ur din egen kodradda bara för att fastna i någon annans system.

Standardprotokoll, inte en specialstack

OIDC, OAuth och RS256-signade JWTs som du redan förstår. Läs claims direkt från en vanlig token, utan någon leverantörsspecifik API att lära dig.

En dörr du faktiskt kan gå igenom

Om det är open source och självhyst kan du lämna när du vill. Ersätt inte ditt hemsnickrade system mot en hostad variant som du inte heller kommer ur.

Fakturering som inte följer din användartabell

Att ta betalt per registrerad användare eller månatlig aktiv följer en tabell som bara växer. I stor skala blir det en tillväxtskatt, just det som får team att bygga eget.

Dina data låses aldrig in

Exportera användardata när du vill. Och genom att låta en specialist hantera denna känsliga information undviker du att själv riskera ligga på en hög PII du aldrig borde hållit själv.

Auth är troligen inte din kärnverksamhet. Behandla det som det.

Logto är open source, självhyst och finns också som en hanterad molntjänst. Inloggning, MFA, SSO och RBAC fungerar direkt med standard OIDC. Faktureringen följer tokens, och den dag du vill lämna står dörren öppen.

Kom igång gratis
Kontakta oss

Vanliga frågor

Ska du aldrig bygga ditt eget autentiseringssystem?

Vad är skillnaden mellan autentisering och auktorisering?

Varför gör enterprise SSO egen auth komplicerat?

Vi har kört vårt eget i åratal. Kan vi ändå migrera?

Varför blir AI-agenter och MCP en ny auth-utmaning?