OIDC 云代理与 SIOP 边缘代理

这个答案假设你对Indy，Aries，DID，可验证凭据和OIDC有相当多的了解。我对第一组主题了解很多，但不是 OIDC 专家，所以请耐心等待：-(。

SIOP(自发行OpendID连接提供商(是OIDC的标准扩展，尽管大多数IAM供应商都没有实现它。实施后，OIDC 信赖方 (RP( 可以使用 SIOP 协议直接联系 DID 持有者(例如身份钱包(，并使用标准 OIDC 协议取回经过验证的标识符。 去中心化身份基金会(DIF(的一个项目(Interop Project(正在使用SIOP来实现DID身份验证。 这里有一篇关于这种方法的文章 - https://medium.com/decentralized-identity/using-openid-connect-with-decentralized-identifiers-24733f6fa636。 互操作项目可在此处找到：https://github.com/decentralized-identity/interop-project

我们正在不列颠哥伦比亚省(BC(政府与Mattr Global(新西兰(合作的替代方案使用OIDC云代理来实现标准的OIDC身份提供商(OP(，该提供商在一端通信OIDC，并在另一端使用DID协议(DIDComm(与可验证凭据持有者(再次，身份钱包(通信。我们在一端使用标准的 OIDC 客户端库来接收来自 RP 的授权请求，然后(使用 HTTP(向 Aries 代理(基于 Indy(发送请求，以与身份钱包(本身是 Aries 代理 - 或至少一个会说话 DIDComm 的代理(进行交互以请求证明，并接收证明。然后，OIDC 库从声明中获取数据，将它们映射到 OIDC 令牌以返回到 RP。该实施假设 RP 和 IdP(OIDC 客户端库和 Aries 代理的组合(由请求授权的组织操作。

此链接显示了两个实现的外观：https://github.com/decentralized-identity/interop-project/issues/16#issuecomment-521130043

请注意，SIOP 实现是关于验证 DID，而 OIDC 代理实现侧重于验证来自可验证凭据 (VC( 的声明。我们认为VC授权的退行性案例是DID的证明，因此OIDC代理方法可能能够处理这两种情况。

这里有一个很好的讨论/总结这些方法的优缺点：https://github.com/decentralized-identity/interop-project/issues/9

我们(BC Gov和Mattr Global(的工作在这里：https://github.com/bcgov/vc-authn-oidc