去中心化 ID (DID) 相对于联合身份的优势
Advantages of Decentralized ID (DID) over federated identity
W3C 目前正在开发去中心化 ID (DID) 标准(参见 here)。与现有的联合身份认证机制(如 OpenID 和 SAML)相比,这个新标准有哪些优势和劣势?为什么组织联盟会选择 DID 而不是传统的联合身份方法?
好问题!
传统身份验证框架(例如 OAuth/OpenID 提供程序)的实施目前(没有必要的扩展)基于用户交易的标识符(即用户名和电子邮件地址)由集中拥有的基本假设提供者,基本上是借给你的。他们通常还假定您的个人和应用程序数据在供应商的控制之下,供应商可以在闲暇时访问这些数据。
另一方面,去中心化身份引入了一组非常不同的特征和模型,与现有的传统身份方案几乎 180 度——这里是两个最重要的组成部分:
去中心化标识符 (DID) 是一种规范,它概述了使用去中心化系统的标准数据格式和框架,使用户能够创建和控制自己的标识符,独立于集中式实体。这是非常强大的。这意味着您的标识符现在是 1) 真正属于您的,2) 不能任意从您那里拿走,以及 3) 它(+ 支持它的加密密钥)可用于签署身份证明。这意味着您不会被去平台化、在企业倒闭时丢失您的 ID,或者受制于声称他们不同意某事的实体(通过您可以创建的签名证明)。
开源和标准组织(例如去中心化身份基金会 - https://identity.foundation)也在致力于去中心化身份的另一个关键组成部分:加密的个人数据存储。去中心化身份堆栈的这一组成部分代表了用户模型的另一个重大转变:大公司和平台提供商不再将您的所有数据保存在一个他们可以在闲暇时访问的孤岛中,这些数据一直受到滥用和破坏,您的数据存在于使用链接到您的去中心化标识符的密钥加密的个人数据存储。这意味着您可以控制您的数据以及您与谁交换数据 - 在此模型中,即使是个人数据存储实例的基础设施提供商也无法访问它。
去中心化身份 technologies/standards 将赋予用户一定程度的控制权、隐私和安全性,这在我们的数字世界中是前所未有的,因此我对即将发生的事情感到由衷的兴奋!
更新:由于另一位评论者介绍的关于在 OIDC 流程中使用去中心化标识符的不准确之处,我必须指出,虽然 OIDC 是一个非常宽松的框架,但目前还没有批准的 OIDC 配置文件来进行去中心化标识符交换官方,可靠的方式。有几个小组(我们在 Microsoft 的团队和去中心化身份基金会的各种贡献者)正在努力通过去中心化标识符的官方 OIDC 配置文件。这是一个库,您可以使用它来进行 OIDC 兼容的 DID 身份验证交换,它反映了即将发布的 DID 的 OIDC 配置文件(如果需要,我们将对其进行更新以跟踪规范):https://github.com/decentralized-identity/did-auth-jose/blob/master/docs/OIDCAuthentication.md
W3C 目前正在开发去中心化 ID (DID) 标准(参见 here)。与现有的联合身份认证机制(如 OpenID 和 SAML)相比,这个新标准有哪些优势和劣势?为什么组织联盟会选择 DID 而不是传统的联合身份方法?
好问题!
传统身份验证框架(例如 OAuth/OpenID 提供程序)的实施目前(没有必要的扩展)基于用户交易的标识符(即用户名和电子邮件地址)由集中拥有的基本假设提供者,基本上是借给你的。他们通常还假定您的个人和应用程序数据在供应商的控制之下,供应商可以在闲暇时访问这些数据。
另一方面,去中心化身份引入了一组非常不同的特征和模型,与现有的传统身份方案几乎 180 度——这里是两个最重要的组成部分:
去中心化标识符 (DID) 是一种规范,它概述了使用去中心化系统的标准数据格式和框架,使用户能够创建和控制自己的标识符,独立于集中式实体。这是非常强大的。这意味着您的标识符现在是 1) 真正属于您的,2) 不能任意从您那里拿走,以及 3) 它(+ 支持它的加密密钥)可用于签署身份证明。这意味着您不会被去平台化、在企业倒闭时丢失您的 ID,或者受制于声称他们不同意某事的实体(通过您可以创建的签名证明)。
开源和标准组织(例如去中心化身份基金会 - https://identity.foundation)也在致力于去中心化身份的另一个关键组成部分:加密的个人数据存储。去中心化身份堆栈的这一组成部分代表了用户模型的另一个重大转变:大公司和平台提供商不再将您的所有数据保存在一个他们可以在闲暇时访问的孤岛中,这些数据一直受到滥用和破坏,您的数据存在于使用链接到您的去中心化标识符的密钥加密的个人数据存储。这意味着您可以控制您的数据以及您与谁交换数据 - 在此模型中,即使是个人数据存储实例的基础设施提供商也无法访问它。
去中心化身份 technologies/standards 将赋予用户一定程度的控制权、隐私和安全性,这在我们的数字世界中是前所未有的,因此我对即将发生的事情感到由衷的兴奋!
更新:由于另一位评论者介绍的关于在 OIDC 流程中使用去中心化标识符的不准确之处,我必须指出,虽然 OIDC 是一个非常宽松的框架,但目前还没有批准的 OIDC 配置文件来进行去中心化标识符交换官方,可靠的方式。有几个小组(我们在 Microsoft 的团队和去中心化身份基金会的各种贡献者)正在努力通过去中心化标识符的官方 OIDC 配置文件。这是一个库,您可以使用它来进行 OIDC 兼容的 DID 身份验证交换,它反映了即将发布的 DID 的 OIDC 配置文件(如果需要,我们将对其进行更新以跟踪规范):https://github.com/decentralized-identity/did-auth-jose/blob/master/docs/OIDCAuthentication.md