从密码到可携带的证明:2025 年构建者的 Web3 身份指南
大多数应用仍然将身份绑定到用户名、密码和中心化数据库。这种模型脆弱(泄露)、易泄漏(数据转售)且笨拙(无尽的 KYC 重复)。围绕去中心化标识符(DID)、可验证凭证(VC)和声明的新技术栈指向了不同的未来:用户携带关于自己的加密证明,只披露必要的信息——不多也不少。
本文提炼了全景,并提供了一个可以今天就交付的实用蓝图。
转变:从账户到凭证
这套新身份栈的核心建立在两个基础性的 W3C 标准之上,彻底改变了我们处理用户数据的方式。
- 去中心化标识符(DIDs): 由用户自行控制的标识符,无需像域名系统那样的中心化注册表。可以把 DID 看作是永久的、自己拥有的身份地址。DID 解析为签名的 “DID 文档”,其中包含公钥和服务端点,实现安全的去中心化认证。
v1.0
标准于 2022 年 7 月 19 日 成为正式的 W3C 推荐稿,标志着生态系统的重要里程碑。 - 可验证凭证(VCs): 一种防篡改的数字格式,用于表达诸如 “年龄超过 18 岁”、 “拥有 X 大学的文凭” 或 “已通过 KYC 检查” 等声明。VC 数据模型 2.0 于 2025 年 5 月 15 日 成为 W3C 推荐稿,为凭证的发行与验证奠定了现 代化基础。
对开发者有什么变化? 影响深远。你不再把敏感的个人可识别信息(PII)存入数据库,而是验证用户钱包提供的加密证明。得益于 选择性披露 等强大原语,你可以仅请求所需的特定信息(例如特定国家的居住权),而无需看到完整文档。
与现有登录方式的结合
这新世界并不要求抛弃熟悉的登录体验,而是对其进行补充。
- Passkeys / WebAuthn: 防钓鱼的首选认证方式。Passkey 是绑定到设备或生物特征(如 Face ID、指纹)的 FIDO 凭证,已在所有主流浏览器和操作系统上得到广泛支持,为你的应用或钱包提供无缝的无密码登录体验。
- Sign‑In with Ethereum(SIWE / EIP‑4361): 该标准让用户证明对区块链地址的控制权,并将其关联到应用会话。通过签名的一次性 nonce 消息,实现 Web2 会话与 Web3 控制的清晰桥接。
最佳实践是将两者结合使用:对主流、日常登录实现 Passkeys,在需要钱包关联的场景提供 SIWE,以完成加密原生操作的授权。
发放与校验凭证的基础设施
要让凭证发挥作用,需要标准化的发放和呈现方式。OpenID 基金会提供了两大关键协议。
- 发放:OpenID for Verifiable Credential Issuance(OID4VCI) 定义了受 OAuth 保护的 API,帮助将凭证从发行方(如政府机构或 KYC 提供商)导入用户的数字钱包,兼容多种凭证格式。
- 呈现:OpenID for Verifiable Presentations(OID4VP) 标准化了应用发起 “证明请求” 与用户钱包响应的交互,可通过传统的 OAuth 重定向或现代浏览器 API 完成。
在实现时,你会遇到几种针对不同生态和使用场景设计的凭证格式:
- W3C VC + Data Integrity Suites(JSON‑LD): 常配合 BBS+ 加密,实现强大的选择性披露。
- VC‑JOSE‑COSE 与 SD‑JWT VC(IETF): 基于 JWT 与 CBOR 的生态,同样具备选择性披露能力。
幸运的是,互操作性正在快速提升。OpenID4VC High Assurance 等配置文件正帮助缩减技术选项,使跨供应商集成对开发者更友好。
DID 方法:选择合适的地址方案
DID 本身只是标识符;“DID 方法”决定了它如何锚定到信任根。建议支持以下常见方法:
- did:web: 通过你控制的域名实现 DID,部署极其简便,是企业、发行方以及希望利用现有 Web 基础设施作为信任锚的组织的理想选择。
- did:pkh: 直接从区块链地址(例如以太坊地址)派生 DID,适用于已有加密钱包的用户,可将身份与链上资产关联。
经验法则: 至少支持两种方法——did:web
用于组织,did:pkh
用于个人。 使用标准的 DID 解析库处理查询,并参考官方注册表评估任何新方法的安全性、持久性和治理模型。
可直接使用的构建块
核心标准之外,还有若干工具可以增强你的身份栈。
- ENS(以太坊名称服务): 提供可读的名称(如
yourname.eth
),可映射到区块链地址和 DID,极大提升用户体验,降低错误率,并提供简易的个人资料层。 - 声明(Attestations): 灵活的、可验证的 “关于任何事物的事实”,可记录在链上或链下。例如 Ethereum Attestation Service(EAS) 为构建声誉与信任图提供了坚实底座,且无需在公共账本上存储 PII。
合规风向标
监管常被视为障碍,但在本领域却是强大的加速器。欧盟数字身份框架(eIDAS 2.0) 已于 2024 年 5 月 20 日 正式通过,作为 EU 2024/1183 法规生效,要求所有欧盟成员国为公民提供免费 EU Digital Identity Wallet(EUDI)。实施细则于 2025 年 5 月 7 日 发布,这对公共和私营部门在欧洲采用基于钱包的凭证形成了强有力的信号。
即便你不在欧盟运营,也应预期 EUDI 钱包及其底层协议将塑造全球用户期待,推动钱包普及。