Quartz 4

Soft migration паролей при переезде на WorkOS

active
Not verified

Created · Updated 2 min read

Техническое решение принято при миграции аутентификации из .NET в WorkOS. На Apr 8 daily Ильдар отчитался о тестовой soft migration одного пользователя.

Контекст

При миграции аутентификации с .NET на workos напрямую перенести пароли невозможно. WorkOS поддерживает импорт хэшей паролей из .NET, но только с определённым количеством итераций. В нашей системе исторически использовался более простой вариант хэширования (меньше итераций), который WorkOS не принимает. Дополнительно, валидация паролей между системами может отличаться.

«Они поддерживают такой тип хэша, но у этого типа хэша есть какое-то свойство, связанное с количеством вычислений. Закешировать по-простому, или чуть посложнее. И вот по-простому, как у нас настроено было, они не умеют.» — Ильдар

Выбрали: soft migration

Пользователи при первом логине после миграции вводят пароль заново.

«Там идея soft migration. Люди при логине, им потребуется пароль ввести заново. Я думаю, что не сильно кто-то пострадает от этого.» — Ильдар, Apr 8

Почему

  • Прямая миграция хэшей технически невозможна без re-хэширования из чистого пароля, которого у нас нет.
  • Альтернатива (просить всех пользователей сменить пароль через email-флоу до миграции) — задерживает релиз и создаёт более громкий пользовательский опыт.
  • Soft migration распределяет нагрузку: пароль вводят только активные пользователи, по мере захода. Неактивные не трогаются вообще.

Следствия

  • При первом входе после миграции пользователю показывается стандартный WorkOS login; введённый им пароль регистрируется в WorkOS как новый пароль для этого аккаунта.
  • В отличие от password reset, для пользователя это выглядит как обычный логин — никаких email с magic-link, никаких «временных паролей».
  • Если пользователь забыл пароль — стандартный WorkOS-флоу восстановления.
  • Поддержку придётся подключить если будут массовые жалобы — но в базовом сценарии оттока не ожидается.

Открытые вопросы

  • Окно после миграции, в течение которого старая система ещё может валидировать пароли (для seamless-перехода и фолбэка) — продолжительность не зафиксирована.
  • Метрика успешности миграции — процент пользователей, успешно зашедших в новую систему, в течение какого срока.
  • Что делать со счётом 2FA / SSO для пользователей которых надо перенести в WorkOS — пересекается, но решение отдельное.

Связано

  • workos — целевой провайдер
  • hash-based-subdomain — соседнее решение в auth/multi-tenant цепочке

Источники

Источники: 1.

Сноски

  1. 2026-04-08 «Daily StandUp» ([Н3] миграция паролей невозможна — несовместимость хэшей; [Р1] soft migration), accessed 2026-05-17, https://github.com/Realai-plus/meeting-digests/blob/main/data/digest/2026/04/2026-04-08T08%3A00%3A00.000Z_Daily_StandUp_01KN9V90D1KW4CQQ2SBP7MD58J.md.

Graph View