Openid 分散ID(DID)相对于联邦身份的优势
分散ID DID标准目前正在由W3C开发,请参见。与现有的联合身份验证机制(如OpenID和SAML)相比,这个新标准有哪些优点和缺点?为什么一个组织联盟会选择DID而不是传统的联合身份方法?好问题 传统身份验证框架(例如OAuth/OpenID提供程序)的实现目前没有必要的扩展,这是基于这样一个基本假设,即用户使用的标识符(即用户名和电子邮件地址)由一个集中的提供程序拥有,基本上是借给您的。他们通常还假设您的个人和应用程序数据由提供商控制,提供商可以在空闲时访问这些数据 另一方面,分散身份引入了一组与现有传统身份方案几乎180度不同的特征和模型,以下是两个最重要的组成部分: 分散标识符DIDs是一个规范,概述了使用分散系统的标准数据格式和框架,以授权用户独立于集中实体创建和控制自己的标识符。这是非常强大的。这意味着您的标识符现在是1真正属于您的,2不能随意从您身上拿走,3它+支持它的加密密钥可用于签署身份证明。这意味着您不能被取消平台,在企业关闭时丢失您的ID,或者受到实体通过您可以创建的签名证明声称他们不同意某事的约束Openid 分散ID(DID)相对于联邦身份的优势,openid,saml,federated-identity,decentralized-identity,Openid,Saml,Federated Identity,Decentralized Identity,分散ID DID标准目前正在由W3C开发,请参见。与现有的联合身份验证机制(如OpenID和SAML)相比,这个新标准有哪些优点和缺点?为什么一个组织联盟会选择DID而不是传统的联合身份方法?好问题 传统身份验证框架(例如OAuth/OpenID提供程序)的实现目前没有必要的扩展,这是基于这样一个基本假设,即用户使用的标识符(即用户名和电子邮件地址)由一个集中的提供程序拥有,基本上是借给您的。他们通常还假设您的个人和应用程序数据由提供商控制,提供商可以在空闲时访问这些数据 另一方面,分散身份引入
开源和标准组织,例如分散身份基础——也致力于分散身份的另一个重要组成部分:加密的个人数据存储。分散身份堆栈的这一组成部分代表了用户模式的另一个重大转变:大公司和平台提供商不再将您的所有数据保存在一个他们可以在空闲时访问的筒仓中,而这些筒仓一直受到滥用和破坏,您的数据存在于个人数据存储中,这些数据存储使用链接到分散标识符的密钥进行加密。这意味着您可以控制您的数据以及与谁交换数据—在此模型中,即使是个人数据存储实例的基础结构提供商也无法访问数据
分散的身份识别技术/标准将赋予用户前所未有的控制、隐私和安全水平,因此我对即将到来的一切感到由衷的兴奋更新:由于另一位评论者介绍的关于在OIDC流中使用分散标识符的不准确之处,我必须指出,虽然OIDC是一个非常宽松的框架,但目前还没有批准的OIDC概要文件用于以官方、可靠的方式进行分散标识符交换。我们有几个小组在微软和分散的身份基础上的各种贡献者正在努力通过一个官方的OIDC配置文件为分散的标识符。这里有一个库,您可以使用它进行与OIDC兼容的DID身份验证交换,该库反映了即将发布的DID的OIDC配置文件,我们将更新该配置文件以跟踪规范,如果需要的话:Apples and oranges。您可以在SAML或OIDC消息中发送任何标识符,包括DID。不幸的是@identigral在此处的声明不准确,将OIDC的免费性质与实际DID支持混淆:OIDC中没有DID的官方配置文件,但我所在的微软身份部门的标准团队正在与分散身份社区的其他人积极合作,编纂和批准一个标准,以便您能够以公认的、可靠的方式完成这项工作。我将在下面的回答中添加以下内容:,考虑到@identigral通过歪曲使用OIDC进行分散标识符交换的易用性引入了多少不确定性:如果您对通过OIDC流使用DID的新兴方式感兴趣,这是我们团队为此创建的一个库,哪一个应该或多或少符合我们帮助编纂的OIDC DID概要:谢谢你的回复!虽然这对于DID的定义以及分散身份所有权与集中所有权的根本区别是有帮助的,但我主要想知道组织场景中的优势和劣势。为什么一个组织联盟会选择DID而不是传统的联合身份机制?我编辑了我的问题以澄清。@Sigmatics-组织选择DID的原因有很多:1他们可以拥有一个不可获取或过期的非临时ID,就像域一样,2它允许他们对其他DID签署更持久的加密声明,3他们可以更高程度地保证自己的身份证没有被恶意使用或操纵,例如:娱乐清单 DIDs解决的证书颁发机构模型的致命缺陷