为eIDAS2和可验证凭证设计可重用KYC SDK (ZH)

去中心化身份焦点可重用KYC SDK应优先考虑可验证凭证（VCs）和去中心化标识符（DIDs），以增强隐私和用户控制，符合eIDAS2原则。

API优先设计结构良好的API对于无缝集成至关重要，支持托管和无头实现，并实现灵活的身份编排。

设计内置安全与隐私从一开始就实施强大的加密措施、安全数据处理和用户同意机制，以保护敏感身份数据。

用户体验是关键简化凭证颁发、呈现和重新认证的用户旅程，以推动采用并减少摩擦。

在eIDAS2等新监管框架和可验证凭证（VCs）日益普及的推动下，数字身份领域正在迅速发展。对于开发者来说，这提供了一个构建更安全、更私密、以用户为中心的身份解决方案的机会。未来的一个关键组成部分是可重用KYC SDK，旨在让用户一次性验证身份，并许可地在多个服务中共享这些已验证的属性。

本文探讨了创建强大且合规的可重用KYC SDK的设计原则和技术考量，重点关注其与eIDAS2和可验证凭证开发的集成。我们将研究身份钱包API如何促进这种范式转变，为开发者提供实用见解。

理解可重用KYC和eIDAS2合规性

传统的KYC流程通常重复且繁琐。每个服务提供商都要求用户进行完整的身份验证（IDV）过程，导致用户体验差、运营成本高和数据碎片化。可重用KYC通过允许用户从受信任的发行方获取已验证的数字身份（通常作为可验证凭证），然后将其呈现给其他依赖方，而无需重新验证，从而解决了这个问题。

欧盟的eIDAS2法规是这一模式的重要推动力，它强制创建欧洲数字身份（EUDI）钱包。这些钱包将存储和管理可验证凭证，使公民能够在成员国之间以数字方式证明其身份和属性。因此，一个有效的eIDAS2 SDK必须以互操作性、强大的加密安全性和用户控制为核心进行设计。

eIDAS2合规性SDK的关键组成部分包括：

• 支持可验证凭证（VCs）：SDK必须能够颁发、存储和呈现符合W3C标准的VCs。
• 去中心化标识符（DIDs）：与DID方法的集成允许用户独立于中央机构管理其标识符。
• 同意管理：共享任何属性都需要明确的用户同意，并提供明确的撤销机制。
• 强身份验证：通常需要生物识别重新身份验证（例如，人脸匹配和活体检测）来解锁和呈现凭证，确保是合法所有者在场。

架构可重用KYC SDK：核心组件

一个全面的可重用KYC SDK需要管理多个复杂的交互，从初始身份验证到安全的凭证呈现。以下是基本架构组件的细分：

1. 凭证颁发模块

此模块处理初始的入职和验证过程。它与后端身份验证服务（如Didit的IDV、活体检测和AML模块）集成，以建立信任。一旦验证成功，它将协调可验证凭证的创建和颁发给用户的数字钱包。

// 示例：用于凭证颁发的SDK函数
async function issueVerifiableCredential(userId, verificationData) {
    const response = await api.post('/v1/credentials/issue', {
        userId: userId,
        data: verificationData,
        type: 'KYCProfileCredential'
    });
    return response.data; // 返回一个VC或其引用
}

2. 身份钱包API集成

SDK充当依赖方和用户身份钱包（例如，移动应用或浏览器扩展）之间的中介。它提供了一个身份钱包API来请求凭证、接收呈现并管理用户交互。此API必须支持各种钱包标准和通信协议（例如，用于可验证凭证颁发/呈现的OpenID）。

// 示例：SDK函数从用户钱包请求凭证
async function requestCredentialPresentation(credentialType, requiredAttributes) {
    const challenge = await api.get('/v1/presentations/challenge');
    // 重定向或打开到用户钱包的深层链接，带挑战
    const presentation = await waitForPresentationResponse(challenge.data.id);
    return presentation; // 返回一个可验证呈现
}

3. 可验证呈现与验证模块

当依赖方需要验证用户时，此模块促进从用户钱包请求可验证呈现。然后，它验证所呈现凭证的真实性和完整性，检查发行方签名、撤销状态，并确保所呈现的属性符合依赖方的要求。Didit的后端可以自动处理这些呈现的验证。

4. 生物识别重新身份验证

为了增强安全性，特别是对于高价值交易或敏感数据访问，SDK集成了生物识别重新身份验证。这确保了呈现凭证的人确实是合法所有者。Didit的生物识别身份验证模块（人脸匹配1:1，活体检测）在这里至关重要，配置用于无密码的重新身份验证体验。

开发者关键设计考量

在开发或集成可重用KYC SDK时，有几个因素至关重要：

• 模块化：设计SDK时应采用模块化组件，以便开发者可以选择所需的功能（例如，仅凭证验证，或完整的颁发和呈现流程）。
• 安全与加密：所有通信都应加密。VCs必须由受信任的发行方进行加密签名。SDK需要强大的密钥管理能力。
• 设计内置隐私：实现选择性披露，允许用户仅共享必要的属性。避免过度收集数据。
• 开发者体验（DX）：提供清晰的文档、全面的示例和直观的API。支持多种语言和平台（Web、iOS、Android）至关重要。
• 错误处理与回退：优雅地处理网络问题、用户取消和无效凭证。向用户和依赖方提供清晰的反馈。
• 互操作性：遵守开放标准（W3C VCs、DIDs、用于VC的OpenID），以确保与各种身份钱包和生态系统的兼容性。

Didit如何助力可重用KYC SDK集成

Didit的一体化身份平台非常适合为您的可重用KYC SDK开发提供支持。借助Didit，您可以：

• 颁发可验证凭证：利用Didit的身份验证、生物识别和AML筛选来建立信任并颁发高保障的可验证凭证。
• 生物识别重新身份验证：集成Didit的生物识别身份验证模块，实现安全、无密码的凭证访问，符合eIDAS2的强身份验证要求。
• 身份编排：使用Didit的工作流构建器来定义凭证颁发和验证的逻辑，适应各种用例和合规性需求。
• API优先方法：Didit提供了强大的RESTful API和SDK（Web、iOS、Android），可以无缝集成到您自己的可重用KYC SDK中，无论您是构建托管解决方案还是无头后端。
• 合规性与安全性：受益于Didit的SOC 2 Type II、ISO 27001和GDPR合规性，确保您的身份解决方案符合严格的监管和安全标准。Didit默认隐私的方法（例如，在内存中处理自拍并删除它们）与可重用、保护隐私的身份理念完美契合。

准备好开始了吗？

构建一个拥抱eIDAS2和可验证凭证的强大可重用KYC SDK是一项复杂但有益的工作。通过利用Didit等平台，开发者可以加速其可验证凭证的开发，将重点放在用户体验和业务逻辑上，而不是重复发明底层的身份原语。

探索Didit全面的技术文档，了解我们的API和SDK如何集成到您的下一代身份解决方案中。要深入了解我们的功能，请考虑观看产品演示视频或通过hello@didit.me联系我们的团队。

常见问题

什么是可重用KYC SDK？

可重用KYC SDK是一个软件开发工具包，它允许用户通过受信任的发行方一次性验证其身份，然后通过存储在数字钱包中的可验证凭证，安全且许可地在多个服务提供商之间重用这些已验证的属性。

eIDAS2如何影响可重用KYC SDK？

eIDAS2强制创建欧洲数字身份（EUDI）钱包，该钱包将存储可验证凭证。可重用KYC SDK必须设计为与eIDAS2标准兼容，支持这些凭证的颁发、存储和呈现，同时遵守强身份验证和隐私要求。

什么是可验证凭证（VCs）以及它们如何与身份钱包API协同工作？

可验证凭证（VCs）是防篡改的数字声明证明（例如，年龄、国籍、地址），由发行方进行加密签名。身份钱包API允许应用程序与用户的数字钱包交互，以请求、接收和验证这些VCs，从而在用户同意的基础上实现安全和私密的数据共享。

Didit的平台为何适合构建可重用KYC SDK？

Didit提供核心身份原语（IDV、生物识别、AML）来颁发可验证凭证，强大的API和SDK用于集成，以及用于编排的工作流引擎。其eIDAS2兼容性以及对安全和隐私的关注，为开发符合要求且以用户为中心的可重用KYC解决方案提供了坚实的基础。