W3C 目前正在开发分散式 ID (DID) 标准(请参阅此处)。与现有的联合身份认证机制(如 OpenID 和 SAML)相比,这个新标准有哪些优点和缺点?为什么组织联盟会选择 DID 而不是传统的联合身份方法?
问问题
632 次
1 回答
4
好问题!
传统身份验证框架(例如 OAuth/OpenID 提供者)的实现目前(没有必要的扩展)基于以下基本假设:用户交易的标识符(即用户名和电子邮件地址)归集中式提供者所有,并且基本上是借给您的. 他们通常还假设您的个人和应用程序数据处于提供商的控制之下,他们可以在闲暇时访问这些数据。
另一方面,去中心化身份引入了一组非常不同的特征和模型,与现有的传统身份方案几乎成 180 度——这是两个最重要的组成部分:
去中心化标识符 (DID) 是一个规范,它概述了使用去中心化系统的标准数据格式和框架,以使用户能够独立于中心化实体创建和控制自己的标识符。这是非常强大的。这意味着您的标识符现在是 1) 真正属于您的,2) 不能任意从您那里获取,以及 3) 它(+ 支持它的加密密钥)可用于签署身份证明。这意味着您不会被去平台化,在企业关闭时丢失您的 ID,或者受制于声称他们不同意某事的实体(通过您可以创建的签名证明)。
开源和标准组织(例如去中心化身份基金会 - https://identity.foundation)也在研究去中心化身份的另一个关键组件:加密的个人数据存储。去中心化身份堆栈的这个组件代表了用户模型的另一个重大转变:不再是大公司和平台提供商将您的所有数据保存在一个孤岛中,他们可以在闲暇时访问这些数据,这些数据一直受到滥用和破坏,您的数据存在于使用链接到您的分散标识符的密钥加密的个人数据存储。这意味着您可以控制您的数据以及与谁交换数据 - 在此模型中,即使是个人数据存储实例的基础设施提供商也无法访问它。
去中心化身份技术/标准将赋予用户一定程度的控制、隐私和安全性,这在我们的数字世界中从未存在过,因此我对即将发生的事情感到非常兴奋!
更新:由于另一位评论者介绍的关于在 OIDC 流程中使用去中心化标识符的不准确之处,我必须指出,虽然 OIDC 是一个非常宽松的框架,但目前没有批准的 OIDC 配置文件用于以官方、可靠的方式进行去中心化标识符交换。有几个小组(我们在微软的团队和去中心化身份基金会的各种贡献者)正在努力通过去中心化标识符的官方 OIDC 配置文件。这是一个库,您可以使用它来进行与 OIDC 兼容的 DID 身份验证交换,它反映了即将推出的 DID 的 OIDC 配置文件(如果需要,我们将对其进行更新以跟踪规范):https ://github.com/decentralized-identity/ did-auth-jose/blob/master/docs/OIDCAuthentication.md
于 2019-05-24T18:27:08.893 回答