Перейти к основному содержимому
Didit привлёк $7,5 млн на инфраструктуру для идентификации и борьбы с мошенничеством
Didit
В блог
Блог · 12 марта 2026 г.

Интеграция самосуверенной идентификации (SSI) с OAuth 2.0 и OIDC: Улучшенная модель личности (RU)

Самосуверенная идентификация (SSI) даёт пользователям контроль над их цифровыми учётными данными. Интеграция SSI с протоколами OAuth 2.0 и OIDC создаёт мощную гибридную систему для безопасной, конфиденциальной и ориентированной.

Автор: DiditОбновлено
implementing-ssi-with-oauth2-oidc.png

SSI и централизованные системыИнтеграция самосуверенной идентификации (SSI) с OAuth 2.0 и OIDC объединяет децентрализованный пользовательский контроль с установленной аутентификацией, создавая мощную гибридную систему идентификации.

Проверяемые учётные данные на практикеПроверяемые учётные данные (VC), выданные через SSI, могут быть представлены как подтверждение атрибутов (например, возраст, место жительства) в потоках OIDC, повышая конфиденциальность за счёт раскрытия только необходимой информации.

Технические схемы интеграцииРеализация этого предполагает использование OIDC в качестве уровня аутентификации, в то время как VC обеспечивают проверку атрибутов, часто через кошелёк или агент, который взаимодействует с поставщиком OIDC.

Роль Didit в гибридной идентификацииПлатформа Didit на основе ИИ, с её модульными решениями для проверки личности (ID Verification), проверки живости (Liveness) и подтверждения адреса (Proof of Address), идеально подходит для поддержки выдачи и проверки учётных данных в рамках усиленной SSI-OIDC инфраструктуры, предлагая бесплатный базовый KYC и гибкую интеграцию.

Эволюция цифровой идентификации: От централизованной к самосуверенной

Цифровая идентификация быстро развивалась, переходя от простых комбинаций имени пользователя/пароля к сложным федеративным системам. Хотя протоколы, такие как OAuth 2.0 и OpenID Connect (OIDC), значительно упростили аутентификацию и авторизацию, они по-прежнему в значительной степени полагаются на централизованных поставщиков идентификации. Эта модель, хотя и удобна, концентрирует власть и данные, делая их целью для взломов и ограничивая пользовательский контроль над их личной информацией. Самосуверенная идентификация (SSI) предлагает смену парадигмы, предоставляя индивидуумам прямое владение и контроль над их цифровыми личностями и данными через проверяемые учётные данные (VC).

SSI позволяет человеку хранить свои атрибуты личности (например, возраст, адрес, квалификация) в виде криптографически защищённых VC, выданных доверенными организациями (эмитентами). Эти VC хранятся в цифровом кошельке, контролируемом индивидуумом, который затем может выборочно представлять их проверяющим сторонам, не полагаясь на центральный орган. Задача состоит в интеграции этого децентрализованного, ориентированного на конфиденциальность подхода с широко распространённой и надёжной инфраструктурой OAuth 2.0 и OIDC.

Эта интеграция заключается не в замене OAuth/OIDC, а в их дополнении. OAuth 2.0 и OIDC превосходно обеспечивают безопасные потоки аутентификации и авторизации. SSI, с другой стороны, превосходно обеспечивает проверяемое, сохраняющее конфиденциальность подтверждение атрибутов. Комбинируя эти сильные стороны, мы можем построить более устойчивый, ориентированный на пользователя и безопасный интернет.

Преодоление разрыва: Как OAuth 2.0 и OIDC могут работать с SSI

Интеграция SSI с OAuth 2.0 и OIDC предполагает использование OIDC для рукопожатия аутентификации, в то время как SSI предоставляет проверяемые атрибуты. Представьте сценарий, когда пользователю необходимо доказать, что ему больше 18 лет, чтобы получить доступ к услуге с возрастными ограничениями. Традиционно это может включать предоставление водительских прав поставщику услуг, который затем проверяет их по базе данных. С SSI пользователь мог бы представить VC «Возраст старше 18 лет», выданный доверенным государственным учреждением, непосредственно из своего цифрового кошелька. Поставщик услуг, действующий как Relying Party OIDC, мог бы затем запросить этот VC как часть потока аутентификации OIDC.

Один из распространённых шаблонов интеграции включает провайдера OIDC, действующего в качестве посредника. Когда Relying Party запрашивает конкретные утверждения (атрибуты), провайдер OIDC мог бы, вместо того чтобы извлекать их из своей собственной базы данных, предложить пользователю представить соответствующий VC из его SSI-кошелька. Затем провайдер OIDC проверяет подлинность и действительность VC (например, подпись эмитента, статус отзыва) и извлекает необходимые утверждения для передачи Relying Party в токене ID или конечной точке userinfo. Этот метод сохраняет привычный поток OIDC для Relying Party, при этом вводя преимущества конфиденциальности и проверяемости SSI.

Например, продукт Didit Оценка возраста может использоваться эмитентом для проверки возраста пользователя во время первоначальной выдачи VC, связанного с возрастом. Это обеспечивает целостность учётных данных у их источника. Аналогично, Проверка личности гарантирует точное установление личности человека, запрашивающего VC, до его выдачи.

Практические схемы интеграции и варианты использования

Появляются несколько схем для этой интеграции:

  1. OIDC как интерфейс кошелька SSI: Сам провайдер OIDC может облегчить взаимодействие с SSI-кошельком пользователя. Когда Relying Party OIDC запрашивает определённые утверждения (например, is_over_18, proof_of_address), провайдер OIDC преобразует это в запрос на проверяемое представление в кошелёк пользователя. Пользователь одобряет представление, и провайдер OIDC проверяет VC перед передачей утверждений Relying Party.
  2. Прямое представление VC через OIDC: В более продвинутых сценариях поток OIDC может быть расширен для прямого запроса проверяемого представления (VP) у пользователя. Параметры OIDC scope или claims могут указывать тип требуемого VC. Кошелёк пользователя затем облегчает создание и подписание VP, которое затем отправляется обратно Relying Party для проверки.
  3. Гибридный подход с брокерами атрибутов: Брокер атрибутов, часто другой провайдер OIDC или выделенный сервис, может находиться между SSI-кошельком пользователя и Relying Party. Этот брокер будет преобразовывать VC в стандартные утверждения OIDC, упрощая интеграцию для существующих приложений.

Рассмотрим финансовое учреждение, регистрирующее нового клиента. Вместо сбора и хранения копий счёта за коммунальные услуги, учреждение (Relying Party) может запросить VC «Подтверждение адреса» через поток OIDC. Решение Didit Подтверждение адреса может использоваться коммунальной компанией (эмитентом) для проверки адреса и первоначальной выдачи VC. Затем учреждение проверяет подлинность VC без необходимости хранить базовый документ, повышая конфиденциальность и снижая ответственность за данные. Для предотвращения мошенничества, Пассивная и активная проверка живости Didit может быть решающей во время начального процесса проверки личности при выдаче базового VC, гарантируя, что человек реален и присутствует.

Проблемы и путь вперёд

Хотя преимущества очевидны, интеграция SSI с OAuth/OIDC представляет собой проблемы. К ним относятся создание доверительных фреймворков для эмитентов VC, стандартизация форматов VC и протоколов обмена представлениями, а также обеспечение бесперебойного пользовательского опыта для управления цифровыми кошельками и одобрения представлений. Взаимодействие между различными экосистемами SSI и провайдерами OIDC является ключом к широкому распространению.

Путь вперёд включает постоянное сотрудничество между органами по стандартизации, поставщиками идентификации и поставщиками технологий. Сосредоточение внимания на удобных для разработчиков инструментах и API ускорит внедрение. По мере того как SSI набирает обороты, способность беспрепятственно интегрироваться с существующей инфраструктурой идентификации будет иметь первостепенное значение. Модульная архитектура Didit на основе ИИ разработана для адаптации к этим развивающимся парадигмам идентификации, предоставляя гибкие строительные блоки для надёжной проверки.

Как Didit помогает

Didit находится на переднем крае создания открытого, модульного уровня идентификации для современного интернета, что делает его идеальным партнёром для реализации решений идентификации, усиленных SSI. Наша платформа на основе ИИ предлагает набор компонуемых примитивов идентификации, которые могут служить как эмитентами, так и проверяющими сторонами в рамках SSI-OIDC. Например, возможности Didit Проверка личности (OCR, MRZ, штрих-коды) и NFC-проверка могут быть использованы эмитентами для проверки физических документов человека с высокой степенью достоверности перед выдачей проверяемых учётных данных. Наше обнаружение Пассивной и активной проверки живости гарантирует, что человек, запрашивающий учётные данные, реален и присутствует, борясь с дипфейками и попытками спуфинга в момент выдачи.

Кроме того, AML-скрининг и мониторинг Didit могут быть интегрированы в процесс выдачи учётных данных для обеспечения соответствия требованиям, а Подтверждение адреса проверяет заявления о месте жительства. Для проверяющих сторон, использующих утверждения OIDC, усиленные SSI, Didit может выступать в качестве надёжной серверной части для перекрёстной проверки атрибутов или выполнения дополнительных проверок при необходимости. Наша модульная архитектура означает, что вы можете выбирать именно те компоненты, которые вам нужны, не будучи вынужденными использовать громоздкие пакеты. Благодаря бесплатному базовому KYC и отсутствию платы за установку, Didit даёт предприятиям возможность экспериментировать и эффективно масштабировать свои решения для идентификации, гарантируя их готовность к будущему децентрализованной и проверяемой идентификации.

Готовы начать?

Готовы увидеть Didit в действии? Получите бесплатную демонстрацию сегодня.

Начните бесплатно проверять личности с бесплатным тарифом Didit.

Инфраструктура для идентификации и борьбы с мошенничеством.

Единый API для KYC, KYB, мониторинга транзакций и проверки кошельков. Интеграция за 5 минут.

Начать бесплатноСвязаться с нами
Попросите ИИ кратко изложить эту страницу
Внедрение самосуверенной идентификации с OAuth 2.0 и OIDC.