Erkunden Sie ausgehend von der EIP4361-Ethereum-Anmeldung die Umwandlung des Web2- in das Web3-Kontosystem

MetaMask hat offiziell seine Unterstützung für EIP-4361 angekündigt. Oberflächlich betrachtet unterscheidet es sich nicht wesentlich von gewöhnlichen Signaturen. Zunächst müssen Sie verstehen, dass EIP-4361 tatsächlich etwas ist klein. Aber die Felder, die sich dahinter erweitern lassen, sind riesig.
EIP4361 ist ein technischer Spezifikationsstandardvorschlag für die Ethereum-Anmeldung. SiwE (Anmeldung mit Ethereum) ist eine dezentrale Authentifizierungsmethode, die es Benutzern ermöglicht, eine einheitliche Anmeldung und Kontrolle über ihr Ethereum-Konto zu erreichen, anstatt sich auf herkömmliche Benutzernamen zu verlassen. In früheren Interviews hat Vitalik die drei größten Möglichkeiten für Web3 im Jahr 2023 vorgeschlagen, darunter die Ethereum-Anmeldung. Er sagte, dass jede Technologie, die Ethereum dabei hilft, zentralisierten Monopolen wie Facebook, Google und Twitter die Anmelderechte zu entziehen wird es Ethereum schließlich ermöglichen, eine größere Marktbeherrschung bei Internetanwendungen zu erlangen, daher ist das Login-System nach Ansicht von Vitalik der nächste Schritt in diesem Kampf. Eine wichtige Richtung für 1 Milliarde Menschen.
Tatsächlich spüre ich jetzt die interne Besorgnis, obwohl die aktuelle Position von Ethereum unerschütterlich zu sein scheint, aber der Wettbewerbsdruck, dem es jetzt ausgesetzt ist, ist auch sehr hoch, insbesondere bei Hochleistungsplattformen wie Aptos und Sui Aus diesem Grund muss Ethereum so entschlossen sein, auf POS umzusteigen, sich an Layern zu beteiligen, Sharding und andere Aktionen durchzuführen und den Konsens und die Leistung zu optimieren, um die Chips zu erhöhen Vertiefte Arbeit in Einstiegsbereichen der C-Seite, wie ENS und Login, und enge Bindung zur C-Seite, um einen eigenen Burggraben zu schaffen. Es ist auch erwähnenswert, dass hinter EIP4361 drei Unterstützer stehen, nämlich Ethereum. Foundation, ENS und Spruce, mit Ausnahme der Ethereum Foundation, sind die beiden anderen DID-Unternehmen. In gewissem Maße kann man sagen, dass die beiden DID-Unternehmen mit der Ethereum Foundation zusammenarbeiten, um Industriestandards zu etablieren, sodass der Standard nicht völlig neutral sein kann Sie können sehen, dass die Bindung mit ENS im Dokument auch sehr ausführlich ist, einschließlich der Möglichkeit, ENS-Domänennamen usw. aufzulösen. Das Folgende ist die offizielle Website von SiwE: https://login.xyz/
Unter ihnen ist ENS bereits jedem bekannt, aber Spruce ist relativ unbekannt. Im chinesischen Raum gibt es fast keine Berichte und Interpretationen darüber. Seine Mission besteht darin, Benutzern die Kontrolle über ihre persönlichen Daten zu ermöglichen, und hat von vielen Stars Kapital erhalten A16Z, YC usw. Die Unterstützung für SSI Self-Sovereign Identity, die in die breite Kategorie DID fällt, ermöglicht es Einzelpersonen, ihre eigenen Identitätsdaten zu kontrollieren, einschließlich der Entscheidung, welche Anwendungen von Drittanbietern sie verwenden können, wie sie verwendet werden usw Wenn wir also sagen, dass das Verständnis von DID darin besteht, durch Datenerfassung zu beweisen, wer Sie sind, während sich SSI auf die Autorisierung, Nutzung und Verwaltung der Datenebene konzentriert.
Bevor Sie über die Anmeldung von Ethereum bei SiwE sprechen, müssen Sie zunächst über das herkömmliche Kontoanmeldesystem und die vorhandene Verbindungs-Wallet-Signatur sprechen. Anschließend können Sie die Unterschiede und Vorteile von SiwE verstehen.
Das herkömmliche Kontoanmeldesystem verwendet Mobiltelefonnummern, E-Mail-Adressen, Passwörter usw., um Benutzerkonten zentral zu speichern und die Anmeldung und Überprüfung durchzuführen. Benutzerkonten werden vollständig in einer zentralen Datenbank gespeichert, sodass Probleme wie Kontoauflösung, Kontoübertragung usw. auftreten. und Datenlecks. Vor dem Aufkommen riesiger Internetunternehmen mit eigener Ökologie, vertreten durch Tencent und Alibaba, wurde das Benutzerkontosystem von jedem Unternehmen oder sogar jedem Produkt unabhängig verwaltet Im Allgemeinen gibt es eine Benutzertabelle, in der alle Kontoinformationen des Benutzers gespeichert werden, einschließlich Benutzername, Passwort, Mobiltelefonnummer, E-Mail usw. Bei jeder Registrierung des Benutzers werden Daten gespeichert In der Benutzertabelle gibt der Benutzer den Benutzernamen und das Kennwort ein, wenn er sich anschließend anmeldet. Für den entsprechenden Abgleich ist es für Benutzer sehr mühsam, eine große Anzahl von Konten und Kennwörtern selbst zu verwalten, und es ist leicht, diese zu verlieren und zu vergessen Der Einfachheit halber legen viele Benutzer die Kontokennwörter aller Produkte fest, was dazu führt, dass die Datenbank eines Produkts durchgesickert ist. Hacker verwenden Credential-Stuffing-Angriffe, um sich bei so vielen Konten anzumelden In Verbindung mit der zentralen Verwaltung ist das Risiko jedoch äußerst hoch. Später wurden jedoch zahlreiche Mobiltelefonverifizierungen durchgeführt, und bei jeder Änderung des Kontos traten erneut Probleme auf.
Als Tencent und Alibaba später ihre eigene Produktmatrix und ihr eigenes Ökosystem einrichteten, war es für Benutzer sehr mühsam, sich zwischen ihren Produkten anzumelden und verschiedene Konten zu wechseln. Das größte Problem bestand darin, dass die Konten zwischen den einzelnen Produkten isoliert waren Wenn ich beispielsweise Taobao verwende, um Bettwäsche zu kaufen und etwas zum Mitnehmen bei Ele.me zu bestellen, kann ich durch Datenanalyse tatsächlich als „berufstätiger alleinstehender Jugendlicher“ eingestuft werden Dies sind zwei Produkte, und jedes Produkt verfügt über ein eigenes Kontosystem. Es ist völlig unmöglich, die Beziehung zwischen den Benutzern dieser beiden Produkte zu kennen. Die Methode besteht darin, einheitliche Konten abzugleichen und zu identifizieren. Damit sind alle Produkte, die dieselbe Mobiltelefonnummer verwenden, dieselbe Person, und das andere besteht darin, Single Sign-On oder Unified Login zu verwenden, z. B. das am häufigsten verwendete WeChat-Login. Die folgende Abbildung zeigt das Flussdiagramm der WeChat-Anmeldung Durch die Verwendung von WeChat als Anmeldemethode entfällt der überflüssige Prozess der Neuregistrierung von Konten und der Verwaltung von Konten. Dadurch wird die Benutzerschwelle gesenkt und eine bessere Kundenakquise erzielt. Bei WeChat verwenden mehr Benutzer und Drittanbieterprodukte WeChat als Konto . Das Login-Portal kann seine Wettbewerbsbarrieren erheblich verbessern.
Das Anmeldesystem von toC kann Unternehmenslösungen auf ökologischer Ebene wie Tencent und Alibaba verwenden. Das Anmeldesystem von toB steht auch vor problematischeren Problemen, da die intern verwendeten Produkte vielfältiger werden und die Quellen Drittanbieter umfassen maßgeschneiderte Beschaffung und SaaS-Anbieter, Selbstrecherche usw., gepaart mit der großen Anzahl von Mitarbeitern, die eine große Anzahl von Berechtigungen, Datensicherheit und anderen Problemen mit sich bringen, so dass Zehntausende von Mitarbeitern die reibungslose Nutzung Hunderter interner Produkte ermöglichen können und sicher ist auch ein Problem, das gelöst werden muss, wie z. B. Authing, Okta. Unternehmen wie Alibaba Cloud bieten Single-Sign-On-Lösungen für Unternehmen.
Das Obige ist die wichtigste Entwicklung des Kontoidentitätssystems, die das traditionelle Web2 in den letzten 20 Jahren erlebt hat. Der intuitivste Unterschied in der Erfahrung von Web3 für normale Benutzer besteht darin, dass sie alle Web3-Produkte mit einer Brieftasche verwenden können Direkter Weg für Benutzer zum Erleben Es hat die Bedeutung des globalen Netzwerks von Blöcken erreicht, oder man kann sagen, dass es das „Internet“-Netzwerk wirklich verwirklicht hat.
Aufgrund der Eigenschaften der Vermögenswerte in der Kette ist jedoch jeder für seine eigene Sicherheit verantwortlich. Daher gibt es keine Drittplattform wie Web2 mehr, die die Verantwortung und Verpflichtung trägt, die Sicherheit der Benutzergelder zu gewährleisten. Benutzer werden einer Vielzahl von Phishing-Betrügereien ausgesetzt sein, solange relevante Signaturen und Autorisierungen durchgeführt werden. Insbesondere die aktuellen Wallets, die durch Metamask dargestellt werden, geben bei der Interaktion zu wenig Informationen preis Die Lesbarkeit ist sehr schlecht, selbst für Personen ohne technischen Hintergrund. Sie verstehen meist nicht, was der Inhalt des Popup-Fensters bedeutet, das eine Unterschrift und Autorisierung erfordert. Daher müssen strenge Standards für die Aktion formuliert werden Es besteht die Möglichkeit, die Unterschrift und Autorisierung des Benutzers anzufordern, und der Benutzer sollte vollständig über den auszuführenden Inhalt informiert werden.
EIP-4361 klärt den Standardprozess für die Authentifizierung von Ethereum-Konten über Off-Chain-Dienste, sodass die Authentifizierung durch Signieren eines Standardnachrichtenformats erfolgt, das anhand von Sitzungsdetails, Sicherheitsmechanismen und Bereichen strukturiert ist, d. h. die Feldparameter sind angezeigt und bietet Entwicklern die Infrastruktur zum Erstellen einer einheitlichen Identitätsschicht für Web2- und Web3-Anwendungen. Sie müssen nur die Nachricht signieren und müssen keine Transaktionen mit der Blockchain durchführen Gas für Bergleute.
In dem Dokument heißt es: „Als Web2-Unternehmen haben Sie die Möglichkeit, der erste Ansprechpartner für Benutzer zu sein, die sich bei Web3 anmelden, und ihnen bei der Kontrolle ihrer digitalen Identität zu helfen. SiwE hofft, die Anmeldung durch die Verbindung mit dem Wallet abschließen zu können.“ - Senden einer Signatur – Nachdem der Prozess standardisiert ist, können mehr Web2-Produkte aufgerufen werden und werden zu einer Anmeldeoption. Genau wie bei der Verwendung bestimmter Produkte können wir die Anmeldemethode wie folgt auswählen, einschließlich Google-Anmeldung, Twitter-Anmeldung und Facebook-Anmeldung Setzen Sie ein weiteres Ethereum-Login ein und betten Sie es über das Login-Portal ein, um das web2-Produkt einer sehr großen Anzahl von Benutzern abzudecken.
Die Motivation für die Verbindung dieser web2-Produkte mit SiwE besteht darin, dass sie entsprechende Dienste basierend auf den von den Benutzern offengelegten On-Chain-Assets bereitstellen können. Das heißt, wenn Sie sich mit Google oder Twitter anmelden, schließen Sie nur die Anmeldeaktion ab, aber wenn Wenn Sie sich mit Ethereum anmelden, können Sie sich basierend auf der Beharrlichkeit des Benutzers anmelden. Wenn Sie über ein bestimmtes NFT verfügen, können wir Ihnen einen Rabatt von 20 % anbieten.
Der Link zum Vorschlag für EIP-4361 lautet wie folgt: https://eips.ethereum.org/EIPS/eip-4361 Das Bild unten zeigt die Vorlagennachricht von SiwE, die vollständige ABNF und den entsprechenden Popup-Fensterstil dass es auf sehr standardisierte Weise transparent ist: Der Inhalt der Nachricht, die der Benutzer ausführen möchte, der URL-URI, der die Anmeldung anfordert, die aktuelle Version, die angemeldete Ketten-ID, die Nonce zur Verhinderung von Replay-Angriffen, die ausgestellte Anmeldegültigkeitszeit und Die Endzeit läuft um AT ab.
Darunter ist ABNF die Augmented Backus-Naur-Form, ein formales System, das eine Sprache als bidirektionales Kommunikationsprotokoll beschreibt. Dies ist auch der Schwerpunkt von EIP-4361, das den Anmeldeprozess standardisiert.
Wie oben erwähnt, steckt ENS hinter EIP-4361, daher beinhaltet der Vorschlag auch eine relativ tiefe Einbettung von ENS. SiwE kann zum Parsen von ENS-Daten verwendet werden, einschließlich des ENS-Namens, des ENS-Avatars und aller im ENS-Dokument angegebenen analysierbaren Ressourcen Wie in der Abbildung unten gezeigt, kann ENS zusätzlich zu seinem eigenen Domainnamen auch eine große Menge an Informationen binden, einschließlich Wallet-Adresse, E-Mail, Discord, Twitter usw.
Zusätzlich zur standardisierten Anmeldung kann EIP-4361 bis zu einem gewissen Grad auch Phishing-Angriffe verhindern. Derzeit werden täglich einer großen Anzahl von Benutzern ihre Vermögenswerte durch Phishing-Websites gestohlen. EIP-4361 umfasst unter anderem drei Schritte im Wallet-Anmeldeprozess .
1. Überprüfen Sie die Nachricht und prüfen Sie, ob der Signaturinhalt dem oben genannten ABNF-Standardformat entspricht
2. Überprüfen Sie den Domänennamen, wenn er dem Anmeldestandard EIP-4361 entspricht. Das Wallet überprüft, ob die URL, die die Anmeldung initiiert, mit der in ABNF übermittelten URL übereinstimmt, um so falsche Behauptungen zu vermeiden.
3. Erstellen Sie dann ein Ethereum-Anmelde-Popup-Fenster. Die bestehende Spezifikation sieht vor, dass dem Benutzer alle Bedingungen vollständig angezeigt werden müssen und der Benutzer vor dem Signieren zum Ende der Seite scrollen muss, was den Benutzerrichtlinien ähnelt Scrollen Sie bei vielen APPs nach unten, um sicherzustellen, dass Sie mit dem Lesen fertig sind, bevor Sie mit dem nächsten Schritt fortfahren.
In den Designspezifikationen werden 4 Elemente erwähnt
1. Es muss eine Seite angezeigt werden, die für Menschen verständlich ist. Die meisten davon verfügen nicht über maschinenspezifische Funktionen wie JOSN, Hexadezimalcode, Basiscodierung usw. Dies ist das oben erwähnte Problem bei der aktuellen Wallet-Interaktion Die Leute haben keine Ahnung, was es bedeutet, nachdem sie geklickt haben
2. Das Backend der Anwendung muss eine vollständig nutzbare Unterstützung für sein Terminal bieten und erfordert keine erzwungene Änderung des Wallets. Dies ist hauptsächlich erforderlich, um keine Erfahrungsschwelle für Benutzer beim Zugriff auf SiwE zu schaffen.
3. Für Anwendungs-Wallets, die SiwE bereits verwendet haben, muss ein einfacher und direkter Upgrade-Pfad erstellt werden. Wie oben erwähnt, wird es eine Versionsnummer geben, die SiwE identifiziert. Auch spätere Upgrades müssen die Kompatibilität gewährleisten.
4. Es müssen angemessene Vorbereitungen zur Verhinderung von Replay-Angriffen, böswilligen Signaturen usw. getroffen werden.
Darüber hinaus wird in dem Dokument auch das Problem der Schlüsselverwaltung erwähnt, da SiwE hofft, viele Web2-Produkte zugänglich zu machen und mehr externe Benutzer in die Welt von Web3 einzuführen, aber Mainstream-Benutzer haben sich daran gewöhnt, Web2 zu „finden“. Produkte. Wenn Ihr privater Schlüssel in Web3 verloren geht, kann er nicht abgerufen werden, sodass dieses Problem für eine große Anzahl von Web2-Benutzern eine hohe Aufklärungsschwelle darstellt der Kontoabstraktion AA-Wallets, um dieses Problem wirklich effektiv zu lösen.
Das Obige ist die Interpretation des Wechsels vom Web2- zum Web3-Kontosystem basierend auf EIP-4361. Tatsächlich handelt es sich bei EIP-4361 selbst nicht um ein Ereignis mit großer Auswirkung wie die Kontoabstraktion und das Shanghai-Upgrade Aber es ist diese Art der stillen Optimierung, die das Erlebnis von Web2- und Web3-Benutzern schrittweise verbessern wird.