数字身份是互联网信息安全传输的先决条件,是利用非对称性加密技术为投资者提供认证,并确保交易完整、安全的技术。尽管这项技术在上世纪便已经诞生,但因技术过于复杂的原因,并未被普通用户广泛接受。
在此后的一段时间中,数字身份一直未有所发展。当web问世时,网络公司仍然需要对用户进行验证,这时它们采用账户密码模式已经不是公-私密钥对模式,而是在用户注册新账户时创建自己的密码,并由网络公司保存客户的密码。此后,用户使用一种“大脑对数据库 (brain to database)”的验证方式来登录。
虽然注册新账户时创建自己的密码已较此前简化许多,但它依然给用户带来了一系列的安全问题。由于记住多套密码很困难,用户倾向于在每个地方重复使用他们的密码,假如其中一个服务商以不安全的方式存储用户的密码,并被黑客或病毒攻破了,那么所有其他的服务都会陷入危险。
面对这一棘手的安全问题,OAuth 的发明使之得到了有效解决,它们不再需要运行自己的认证服务器,只需把这部分工作委托给一个用户已经拥有账户的第三方公司。而这又导致了一个新的问题,一旦一家公司被 OAuth 供应商禁止,整个业务都会崩塌。
如今,技术已经取得质的的进步,人们开始再次讨论账户-密码这种模式的替代方案。尽管biometric、SMS 和 OTP 这些无需密码的解决方案很可行,但是在身份识别领域,密钥对依旧是最终目标。因此,数字身份得以复兴最终还要看以太坊。
随着技术的发展与成熟,私钥进行签名已经变得很简单。幸亏有了 Dapp 和以太坊,越来越多的人有了拥有私钥并用它对交易签名的第一次体验。眼下,人们构建了大量浏览器扩展程序、移动应用、和硬件设备来满足不断增长的需求,这些领域的应用极大促进了以太坊的发展。
由于在一些高级场景中,数字身份还是需要“状态”的。很多 GPG 用户会与一个 (某种程度上) 中心化的密钥服务器交互,以注册/替代/撤销他们的公钥。因此,仍然需要状态来丰富数字身份的可用性和表达力。这时,区块链能完美满足为用户身份提供状态这个需求,通过用智能合约实现访问控制,用户以太坊上的身份便是可编程的了。
纵然已经有许多用户拥有了私钥,但要让数字身份为更多用户采纳,可以把 OAuth 与基于密钥的验证结合起来,web2 公司可以用他们习惯的方式集成数字身份。需要指出的是,Eauth 是一个基于以太坊的,兼容 OAuth 的认证服务。集成者可以无缝地把数字身份作为 OAuth 的一个选项,而不需要任何密码学和 web3 钱包的知识。
尽管web2+以太坊登录并不能完美实现去中心化, web2 和 web3 世界仍要并行一段时间,但是Eauth 却可以成为连接两个世界的桥梁。
