W3C当前正在开发分散式ID(DID)标准(请参阅here)。与现有的联合身份验证机制(如OpenID和SAML)相比,此新标准的优缺点有哪些?为什么一个组织联盟会选择DID而不是传统的联合身份验证方法?
答案 0 :(得分:0)
好问题!
传统身份验证框架(例如,OAuth / OpenID提供程序)的实现当前(没有必要的扩展)基于以下基本假设:与用户进行交易的标识符(即用户名和电子邮件地址)由集中的提供者拥有,并且基本上是借给你他们通常还假设您的个人和应用程序数据受提供商的控制,提供商可以在闲暇时访问它们。
另一方面,分散式身份引入了与现有传统身份方案几乎180度不同的一组功能和模型-这是两个最重要的组成部分:
去中心化标识符(DID)是一种规范,概述了使用去中心化系统来使用户能够独立于集中式实体来创建和控制自己的标识符的标准数据格式和框架。这是非常强大的。这意味着您的标识符现在是1)真正属于您的标识符,2)无法随意从您那里获取,以及3)可以使用它(+支持它的加密密钥)来签署身份证明。这意味着您不能放任平台,业务关闭时也不会丢失您的ID,或者遭受实体声称他们不同意(通过您可以创建的签字证明)的实体的约束。
开放源代码和标准组织(例如Decentralized Identity Foundation-https://identity.foundation)也正在致力于分散身份的另一个关键组成部分:加密的个人数据存储。去中心化身份堆栈的这一部分代表了用户模型的另一个重大转变:与其使用大型公司和平台提供商将您的所有数据存储在筒仓中,他们可以在闲暇时访问这些存储库,这些存储库遭到了滥用和破坏,您的数据就存放在用链接到分散标识符的密钥加密的个人数据存储。这意味着您可以控制数据以及与谁交换数据-在此模型中,即使个人数据存储实例的基础结构提供程序也无法访问它。
去中心化身份技术/标准将为用户提供在数字世界中从未有过的控制,隐私和安全级别,因此,我为即将到来的事情感到非常兴奋!
更新:由于在OIDC流程中使用去中心化标识符引入了另一位评论者的准确性,我必须指出,尽管OIDC是一个非常宽松的框架,但目前尚无批准的OIDC配置文件在官方中进行去中心化标识符交换,可靠的方法。有几个小组(我们的Microsoft团队和Decentralized Identity Foundation的各个贡献者)正在努力通过官方的OIDC Decentralized Identifiers Profile。这是一个库,您可以用来进行OIDC兼容的DID身份验证交换,该库反映即将推出的DID的OIDC配置文件(如有需要,我们将对其进行更新以跟踪规范):https://github.com/decentralized-identity/did-auth-jose/blob/master/docs/OIDCAuthentication.md