SSI与OAuth 2.0及OIDC的融合：增强身份管理 (ZH)

SSI与中心化系统将自管理身份（SSI）与OAuth 2.0和OIDC集成，将去中心化的用户控制与既定的认证机制相结合，创建了一个强大的混合身份框架。

可验证凭证的实践应用通过SSI签发的可验证凭证（VCs）可以在OIDC流程中作为属性证明（例如年龄、居住地）出示，通过仅披露必要信息来增强隐私。

技术集成模式实现这一点涉及使用OIDC作为认证层，同时VCs提供属性验证，通常由与OIDC提供商通信的钱包或代理进行协调。

Didit在混合身份中的作用Didit的AI原生身份平台，凭借其模块化的身份验证、活体检测和地址证明解决方案，非常适合在SSI增强的OIDC框架内支持凭证的签发和验证，提供免费的核心KYC和灵活的集成。

数字身份的演进：从中心化到自管理

数字身份发展迅速，从简单的用户名/密码组合演变为复杂的联邦系统。尽管OAuth 2.0和OpenID Connect（OIDC）等协议显著简化了认证和授权，但它们仍然主要依赖中心化身份提供商。这种模式虽然方便，但也集中了权力和数据，使其成为数据泄露的目标，并限制了用户对其个人信息的控制。自管理身份（SSI）提供了一种范式转变，通过可验证凭证（VCs）赋予个人对其数字身份和数据的直接所有权和控制权。

SSI允许个人将其身份属性（例如年龄、地址、资质）作为由受信任实体（签发者）签发并经过加密保护的VCs持有。这些VCs存储在由个人控制的数字钱包中，用户可以有选择地将其呈现给验证者，而无需依赖中央机构。挑战在于如何将这种去中心化、注重隐私的方法与广泛采用且强大的OAuth 2.0和OIDC基础设施相结合。

这种集成并非要取代OAuth/OIDC，而是对其进行增强。OAuth 2.0和OIDC擅长提供安全的认证和授权流程。而SSI则擅长提供可验证、保护隐私的属性证明。通过结合这些优势，我们可以构建一个更具弹性、以用户为中心且更安全的互联网。

弥合鸿沟：OAuth 2.0和OIDC如何与SSI协同工作

将SSI与OAuth 2.0和OIDC集成，涉及利用OIDC进行认证握手，同时SSI提供可验证的属性。想象一下一个场景，用户需要证明自己已满18岁才能访问受年龄限制的服务。传统上，这可能需要与服务提供商共享驾驶执照，然后服务提供商将其与数据库进行验证。有了SSI，用户可以直接从他们的数字钱包中出示由受信任的政府机构签发的“年满18岁”VC。服务提供商作为OIDC信赖方，可以在OIDC认证流程中请求此VC。

一种常见的集成模式涉及OIDC提供商充当中间人。当信赖方请求特定声明（属性）时，OIDC提供商可以不从其自己的数据库中获取，而是提示用户从其SSI钱包中出示相应的VC。然后，OIDC提供商验证VC的真实性和有效性（例如，签发者签名、撤销状态），并提取必要的声明，通过ID令牌或userinfo端点返回给信赖方。这种方法为信赖方保持了熟悉的OIDC流程，同时引入了SSI的隐私和可验证性优势。

例如，Didit的年龄估算产品可以由签发者在初始签发年龄相关VC时用于验证用户的年龄。这确保了凭证在源头的完整性。同样，身份验证确保在签发VC之前准确建立请求VC的个人的身份。

实际集成模式和用例

这种集成正在涌现几种模式：

1. OIDC作为SSI钱包接口：OIDC提供商本身可以促进与用户SSI钱包的交互。当OIDC信赖方请求某些声明（例如，is_over_18、proof_of_address）时，OIDC提供商将其转换为对用户钱包的可验证呈现请求。用户批准呈现，OIDC提供商在将声明交付给信赖方之前验证VC。
2. 通过OIDC直接呈现VC：在更高级的场景中，OIDC流程可以扩展到直接从用户请求可验证呈现（VP）。OIDC的scope或claims参数可以指定所需的VC类型。用户的钱包将促进VP的创建和签名，然后将其发送回信赖方进行验证。
3. 带有属性代理的混合方法：属性代理（通常是另一个OIDC提供商或专用服务）可以位于用户SSI钱包和信赖方之间。此代理将VCs转换为标准OIDC声明，从而简化现有应用程序的集成。

考虑一家金融机构 onboarding 新客户。机构（信赖方）可以通过OIDC流程请求“地址证明”VC，而不是收集和存储水电费账单的副本。Didit的地址证明解决方案可以由公用事业公司（签发者）用于验证地址并最初签发VC。然后，机构验证VC的真实性，而无需存储底层文档，从而增强隐私并降低数据责任。为了防止欺诈，Didit的被动和主动活体检测在签发基础VC的初始身份验证过程中至关重要，确保个人真实存在。

挑战与前进之路

尽管优势显而易见，但将SSI与OAuth/OIDC集成也带来了挑战。这包括建立VC签发者的信任框架、标准化VC格式和呈现交换协议，以及确保管理数字钱包和批准呈现的无缝用户体验。不同SSI生态系统和OIDC提供商之间的互操作性是广泛采用的关键。

前进之路涉及标准机构、身份提供商和技术供应商之间的持续合作。专注于开发人员友好的工具和API将加速采用。随着SSI的普及，与现有身份基础设施无缝集成的能力将至关重要。Didit的AI原生模块化架构旨在适应这些不断演进的身份范式，为强大的验证提供灵活的构建模块。

Didit如何提供帮助

Didit站在为现代互联网构建开放式模块化身份层的前沿，使其成为实施SSI增强身份解决方案的理想合作伙伴。我们的AI原生平台提供了一套可组合的身份原语，可以在SSI-OIDC框架中充当签发者和验证者。例如，Didit的身份验证（OCR、MRZ、条形码）和NFC验证功能可供签发者利用，在签发可验证凭证之前以高保证验证个人的实体文档。我们的被动和主动活体检测确保请求凭证的人是真实存在的，并在签发时打击深度伪造和欺骗尝试。

此外，Didit的AML筛查与监控可以集成到凭证签发流程中以确保合规性，而地址证明则验证居住地声明。对于消费SSI增强OIDC声明的验证者，Didit可以作为强大的后端，根据需要交叉验证属性或执行额外检查。我们的模块化架构意味着您可以选择所需的精确组件，而无需被迫使用臃肿的软件包。通过免费的核心KYC和无设置费用，Didit使企业能够有效地试验和扩展其身份解决方案，确保他们为去中心化和可验证身份的未来做好准备。

准备好开始了吗？

准备好亲身体验Didit了吗？立即获取免费演示。

使用Didit的免费套餐开始免费验证身份。