当前W3C开发了分散的ID(DID(标准(请参见此处(。与现有的联合身份身份验证机制(如OpenID和SAML(相比,该新标准的优点和缺点是什么?为什么组织会选择DID,而不是传统的联邦身份方法?
很棒的问题!
基于基本假设,即标识符用户(即用户名和电子邮件地址(目前是基于集中式提供商拥有的基本假设,目前是基于基本假设(即没有必要的扩展(的实施(例如,没有必要的扩展(。借给你。他们通常还假定您的个人和申请数据在提供商的控制之下,他们可以在闲暇时访问它。
另一方面,分散的身份引入了与现有传统身份方案几乎180度的一组截然不同的特征和模型 - 这是两个最重要的组成部分:
分散的标识符(DIDS(是一个规格,概述了使用分散系统来授权用户创建和控制自己的标识符的标准数据格式和框架,独立于集中式实体。这是非常强大的。这意味着您的标识符现在是1(真正的您,2(不能任意从您那里获取,3(它( 备份备份的加密密钥(可用于签署身份证明。这意味着您不能替代企业关闭时丢失ID,也不能遭受声称他们不同意某件事的实体(通过签署证明您可以创建的实体(。
开源和标准组织(例如,分散的身份基础-https://indistity.foundation(也正在研究分散身份的另一个关键组成部分:加密的个人数据存储。分散身份堆栈的这一组成部分代表了用户模型的另一个重大转变:而不是大型公司和平台提供商将所有数据持有您可以在闲暇时访问的筒仓中,而这些数据遭受虐待和违规,而是您的数据生活在使用与您的分散标识符链接的键进行加密的个人数据存储。这意味着您可以控制数据并与谁进行交换 - 在此模型中,即使是个人数据存储实例的基础架构提供商也无法访问它。
分散的身份技术/标准将使用户能够拥有一定程度的控制,隐私和安全性,而我们的数字世界中从未存在过,因此我为未来的事情感到非常兴奋!
更新:由于不准确,另一个有关在OIDC流中使用分散的标识符的评论者,我必须指出,尽管OIDC是一个非常宽松的框架,但当前有批准的OIDC配置文件用于在官方中进行分散的标识符交换,可靠的方式。有几个小组(我们在微软的团队和分散身份基金会的各种贡献者(正在努力通过官方的OIDC个人资料作为分散的标识符。这是您可以用来进行OIDC兼容的库进行的auth交换,以反映DIDS即将到来的OIDC配置文件(如果需要的话,我们将更新以跟踪规格(:https://github.com/decentralized-interity/dod-auth-jose/blob/master/docs/oidcauthentication.md