Bắt đầu từ đăng nhập Ethereum EIP4361, khám phá quá trình chuyển đổi hệ thống tài khoản Web2 sang Web3

MetaMask chính thức công bố hỗ trợ cho EIP-4361. Nhiều bạn còn bối rối về giao thức này. Nhìn bề ngoài, nó không khác nhiều so với chữ ký thông thường. Bài viết này giải thích cho mọi người. Đầu tiên, bạn phải hiểu rằng EIP-4361 thực sự khá khá tuy nhỏ nhưng những lĩnh vực có thể mở rộng đằng sau nó lại rất lớn.
EIP4361 là một đề xuất tiêu chuẩn thông số kỹ thuật liên quan đến đăng nhập Ethereum. Đăng nhập Ethereum SiwE (Đăng nhập bằng Ethereum) là một phương thức xác thực phi tập trung cho phép người dùng đạt được thông tin đăng nhập và kiểm soát thống nhất bằng tài khoản Ethereum của họ. Nhận dạng, thay vì dựa vào tên người dùng/tên người dùng truyền thống/ Trong các cuộc phỏng vấn trước đây, Vitalik đã đề xuất ba cơ hội lớn nhất cho Web3 vào năm 2023, bao gồm cả đăng nhập Ethereum. Ông nói rằng bất kỳ công nghệ nào giúp Ethereum lấy đi quyền đăng nhập từ các công ty độc quyền tập trung như Facebook, Google và Twitter cuối cùng sẽ cho phép Ethereum giành được nhiều sự thống trị thị trường hơn trong các ứng dụng Internet, vì vậy hệ thống đăng nhập là thứ mà Vitalik tin rằng sẽ là bước tiếp theo trong cuộc chiến, một hướng đi quan trọng cho 1 tỷ người.
Trên thực tế, đối với Ethereum, hiện tại tôi có thể cảm thấy lo lắng trong nội bộ. Mặc dù vị thế hiện tại của Ethereum có vẻ không thể lay chuyển, nhưng áp lực cạnh tranh mà nó phải đối mặt hiện nay cũng rất cao, đặc biệt là với các nền tảng hiệu suất cao như aptos và sui mới, và sau này. chuỗi ngành chuỗi ứng dụng do Cosmos đại diện, vì vậy đây là lý do tại sao Ethereum phải quyết tâm chuyển sang POS, tham gia vào Layer, thực hiện sharding và các hành động khác, đồng thời tối ưu hóa sự đồng thuận và hiệu suất để tăng chip, mặt khác, nó cũng vậy. thực hiện công việc sâu hơn trong các lĩnh vực cấp độ đầu vào đối mặt với bên C, chẳng hạn như ENS và đăng nhập, đồng thời liên kết sâu sắc với bên C để tạo ra con hào riêng. Điều đáng chú ý là có ba người hỗ trợ đằng sau EIP4361, đó là Ethereum. Foundation, ENS và Spruce, ngoại trừ Ethereum Foundation, hai công ty còn lại là công ty DID Ở một mức độ nhất định, có thể nói rằng hai công ty DID hợp tác với Ethereum Foundation để thiết lập các tiêu chuẩn ngành nên tiêu chuẩn không thể hoàn toàn trung lập. Bạn có thể thấy rằng sự ràng buộc với ENS trong tài liệu cũng khá chuyên sâu, bao gồm khả năng phân giải tên miền ENS, v.v. Sau đây là trang web chính thức của SiwE: https://login.xyz/.
Trong số đó, ENS đã quen thuộc với mọi người, nhưng Spruce thì tương đối xa lạ. Hầu như không có báo cáo và giải thích nào về nó ở khu vực Trung Quốc. Nhiệm vụ của nó là cho phép người dùng kiểm soát dữ liệu cá nhân của họ và đã nhận được vốn từ nhiều ngôi sao, trong đó có. A16Z, YC, v.v. Hỗ trợ cho Danh tính tự chủ của SSI, thuộc danh mục DID rộng, cho phép các cá nhân kiểm soát dữ liệu nhận dạng của chính họ, bao gồm cả việc quyết định ứng dụng nào của bên thứ ba có thể sử dụng dữ liệu đó, cách sử dụng dữ liệu đó, v.v. Vì vậy, nếu nói rằng chúng tôi thường hiểu về DID là để chứng minh bạn là ai thông qua việc thu thập dữ liệu, trong khi SSI tập trung vào việc ủy ​​quyền, sử dụng và quản lý cấp độ dữ liệu.
Trước khi nói về việc đăng nhập Ethereum vào SiwE, trước tiên bạn cần nói về hệ thống đăng nhập tài khoản truyền thống và chữ ký ví kết nối hiện có, sau đó bạn có thể hiểu được sự khác biệt và ưu điểm của SiwE.
Hệ thống đăng nhập tài khoản truyền thống sử dụng số điện thoại di động, địa chỉ email, mật khẩu, v.v. để lưu tài khoản người dùng tập trung và thực hiện đăng nhập, xác minh. Tài khoản người dùng được lưu trữ hoàn toàn trong cơ sở dữ liệu tập trung nên phát sinh các vấn đề như hủy tài khoản, chuyển tài khoản, và rò rỉ dữ liệu cũng như các vấn đề khác, tổng cộng nó đã trải qua hai giai đoạn phát triển. Trước khi xuất hiện các công ty Internet khổng lồ với hệ sinh thái riêng do Tencent và Alibaba đại diện, hệ thống tài khoản người dùng được duy trì độc lập bởi mỗi công ty hoặc thậm chí từng sản phẩm. Nói chung, sẽ có một bảng User dùng để lưu trữ tất cả thông tin tài khoản của người dùng, bao gồm tên người dùng, mật khẩu, số điện thoại di động, email, v.v. Mỗi lần người dùng đăng ký, một phần dữ liệu sẽ được lưu trữ trong đó. bảng Người dùng và người dùng sẽ nhập tên người dùng và mật khẩu khi đăng nhập sau đó. Để khớp tương ứng, người dùng sẽ rất khó quản lý một số lượng lớn mật khẩu tài khoản và rất dễ bị mất và quên chúng. Để thuận tiện, nhiều người dùng sẽ đặt mật khẩu tài khoản của tất cả các sản phẩm giống nhau. Do đó, chỉ cần cơ sở dữ liệu của một sản phẩm bị rò rỉ, Hacker sẽ sử dụng các cuộc tấn công nhồi thông tin xác thực để đăng nhập hàng loạt vào tất cả các sản phẩm. nhiều tài khoản, cộng với việc quản lý tập trung, rủi ro là cực kỳ cao. Nhưng sau đó, một số lượng lớn xác minh điện thoại di động đã được sử dụng và vấn đề lại xuất hiện mỗi khi thay đổi tài khoản.
Sau đó, khi Tencent và Alibaba thiết lập ma trận sản phẩm và hệ sinh thái của riêng mình, người dùng sẽ rất khó đăng nhập giữa các sản phẩm của họ và chuyển đổi các tài khoản khác nhau. Vấn đề lớn nhất là các tài khoản giữa mỗi sản phẩm bị cô lập. không thể "sử dụng dữ liệu người dùng" hoàn toàn. Ví dụ: nếu tôi sử dụng taobao để mua ga trải giường và đặt mua đồ ăn mang đi từ Ele.me, thì qua phân tích dữ liệu, tôi thực sự có thể bị gắn mác "thanh niên độc thân đang đi làm". Đây là hai sản phẩm và mỗi sản phẩm có hệ thống tài khoản riêng, hoàn toàn không thể biết được mối quan hệ giữa người dùng của hai sản phẩm này. Phương pháp này là khớp và nhận dạng thông qua các tài khoản thống nhất, chẳng hạn như sử dụng số điện thoại di động. để tất cả các sản phẩm sử dụng cùng một số điện thoại di động đều là cùng một người và cách còn lại là sử dụng đăng nhập một lần hoặc đăng nhập thống nhất, chẳng hạn như thông tin đăng nhập WeChat được sử dụng phổ biến nhất. Hình dưới đây là biểu đồ luồng đăng nhập WeChat. sử dụng WeChat làm phương thức đăng nhập giúp loại bỏ quá trình đăng ký lại tài khoản và quản lý tài khoản dư thừa, đối với các sản phẩm của bên thứ ba, điều này làm giảm ngưỡng người dùng để thu hút khách hàng tốt hơn. Cổng đăng nhập có thể cải thiện đáng kể các rào cản cạnh tranh của nó.
Hệ thống đăng nhập của toC có thể sử dụng các giải pháp doanh nghiệp cấp sinh thái như Tencent và Alibaba. Hệ thống đăng nhập của toB cũng gặp nhiều vấn đề rắc rối hơn, vì khi công ty phát triển, các sản phẩm được sử dụng nội bộ sẽ đa dạng và các nguồn bao gồm bên thứ ba. mua sắm tùy chỉnh và nhà cung cấp SaaS, tự nghiên cứu, v.v., cùng với số lượng lớn nhân viên liên quan đến số lượng lớn quyền, bảo mật dữ liệu và các vấn đề khác, vậy làm thế nào để cho phép hàng chục nghìn nhân viên sử dụng hàng trăm sản phẩm nội bộ một cách suôn sẻ. và an toàn cũng là bài toán cần giải quyết, chẳng hạn như Authing, Okta Các công ty như Alibaba Cloud cung cấp giải pháp đăng nhập một lần cho doanh nghiệp.
Trên đây là sự phát triển chính của hệ thống nhận dạng tài khoản mà Web2 truyền thống đã trải qua trong 20 năm qua. Sự khác biệt trực quan nhất trong trải nghiệm Web3 đối với người dùng thông thường là họ có thể sử dụng tất cả các sản phẩm Web3 bằng một ví. cách trực tiếp để người dùng trải nghiệm Nó đã đạt đến ý nghĩa của mạng lưới toàn cầu gồm các khối hoặc đó là sự hiện thực hóa thực sự của mạng "Internet".
Tuy nhiên, do đặc điểm của tài sản trên chuỗi, mọi người đều chịu trách nhiệm về tính bảo mật của riêng mình. Do đó, không còn nền tảng bên thứ ba nào như Web2 có trách nhiệm và nghĩa vụ đảm bảo tính bảo mật cho tiền của người dùng. người dùng sẽ gặp phải một số lượng lớn các trò lừa đảo lừa đảo. Trong môi trường của trang web, tài sản có thể bị đánh cắp miễn là các chữ ký và ủy quyền có liên quan được thực hiện. Đặc biệt là các ví hiện tại được đại diện bởi metamask tiết lộ quá ít thông tin khi tương tác và khả năng đọc rất kém, ngay cả đối với những người không có nền tảng kỹ thuật trong hầu hết thời gian. Họ không hiểu nội dung của cửa sổ bật lên yêu cầu chữ ký và ủy quyền nghĩa là gì. Do đó, cần phải xây dựng các tiêu chuẩn nghiêm ngặt cho hành động. yêu cầu chữ ký và ủy quyền của người dùng và người dùng phải được thông báo đầy đủ về nội dung sẽ được thực hiện.
EIP-4361 làm rõ quy trình tiêu chuẩn về cách xác thực tài khoản Ethereum thông qua các dịch vụ ngoài chuỗi, như vậy việc xác thực xảy ra bằng cách ký một định dạng thông báo tiêu chuẩn được cấu trúc bằng cách sử dụng chi tiết phiên, cơ chế bảo mật và phạm vi, tức là. Các tham số trường là được hiển thị, cung cấp cho các nhà phát triển cơ sở hạ tầng để tạo lớp nhận dạng thống nhất cho các ứng dụng Web2 và Web3. Quá trình này miễn phí cho người dùng. Họ chỉ cần ký vào tin nhắn và không cần thực hiện giao dịch với blockchain. khí cho thợ mỏ.
Như đã nêu trong tài liệu, “Là một công ty web2, bạn sẽ có cơ hội trở thành điểm liên hệ đầu tiên cho những người dùng truy cập web3 và giúp họ kiểm soát danh tính kỹ thuật số của mình.” SiwE hy vọng có thể hoàn tất đăng nhập bằng cách kết nối ví. - gửi chữ ký - Sau khi quy trình được chuẩn hóa, nhiều sản phẩm Web2 hơn có thể được truy cập và trở thành tùy chọn đăng nhập, giống như khi chúng ta sử dụng một số sản phẩm nhất định, chúng ta có thể chọn phương thức đăng nhập bao gồm đăng nhập Google, đăng nhập twitter và đăng nhập facebook, như sau Đặt một thông tin đăng nhập Ethereum khác và nhúng nó thông qua cổng đăng nhập để bao quát sản phẩm web2 của một số lượng rất lớn người dùng.
Động lực để các sản phẩm web2 này được kết nối với SiwE là vì chúng có thể cung cấp các dịch vụ tương ứng dựa trên tài sản trên chuỗi được tiết lộ của người dùng, tức là nếu bạn đăng nhập bằng Google hoặc Twitter, bạn chỉ hoàn thành hành động đăng nhập, nhưng nếu bạn đăng nhập. bạn đăng nhập bằng Ethereum, bạn có thể đăng nhập dựa trên sự kiên trì của người dùng. Nếu có tài sản, chúng tôi có thể cung cấp các dịch vụ cụ thể hơn. Nếu bạn nắm giữ một NFT nhất định, bạn có thể được giảm giá 20%.
Liên kết đến đề xuất cho EIP-4361 như sau: https://eips.ethereum.org/EIPS/eip-4361 Hình ảnh bên dưới hiển thị thông báo mẫu của SiwE, ABNF hoàn chỉnh và kiểu cửa sổ bật lên tương ứng. rằng nó minh bạch theo cách rất chuẩn hóa Nội dung mà người dùng muốn thực thi, URI URL yêu cầu đăng nhập, Phiên bản hiện tại, ID chuỗi đã đăng nhập, Nonce để ngăn chặn các cuộc tấn công lặp lại, thời gian hiệu lực đăng nhập được cấp AT và thời gian kết thúc Hết hạn AT.
Trong số đó, ABNF là dạng Backus–Naur tăng cường, là một hệ thống chính thức mô tả một ngôn ngữ như một giao thức giao tiếp hai chiều. Đây cũng là trọng tâm của EIP-4361, chuẩn hóa quy trình đăng nhập.
Như đã đề cập ở trên, có ENS đằng sau EIP-4361, do đó, đề xuất cũng bao gồm việc nhúng ENS tương đối sâu. Có thể sử dụng SiwE để phân tích dữ liệu ENS, bao gồm tên ENS, hình đại diện ENS và mọi tài nguyên có thể phân tích cú pháp được chỉ định trong tài liệu ENS. Như trong hình bên dưới, ngoài tên miền riêng, ENS còn có thể liên kết một lượng lớn thông tin bao gồm địa chỉ ví, email, discord, twitter, v.v.
Ngoài đăng nhập được tiêu chuẩn hóa, EIP-4361 cũng có thể ngăn chặn các cuộc tấn công lừa đảo ở một mức độ nhất định. Hiện tại, một số lượng lớn người dùng bị các trang web lừa đảo đánh cắp tài sản mỗi ngày. Trong số đó, EIP-4361 có ba bước trong quy trình đăng nhập ví. .
1. Xác minh tin nhắn và kiểm tra xem nội dung chữ ký có phù hợp với định dạng chuẩn ABNF nêu trên không
2. Xác minh tên miền. Nếu nó đáp ứng tiêu chuẩn đăng nhập của EIP-4361, ví sẽ xác minh xem URL bắt đầu đăng nhập có khớp với URL được gửi trong ABNF hay không, từ đó tránh được các khiếu nại sai.
3. Sau đó, tạo một cửa sổ bật lên đăng nhập Ethereum. Đặc điểm kỹ thuật hiện có là tất cả các điều khoản phải được hiển thị đầy đủ cho người dùng và người dùng phải cuộn xuống cuối trang trước khi ký, tương tự như hướng dẫn người dùng. của nhiều Ứng dụng. Hãy cuộn xuống phía dưới để đảm bảo rằng bạn đã đọc xong trước khi chuyển sang bước tiếp theo.
Có 4 mục được đề cập trong thông số kỹ thuật thiết kế
1. Phải trình bày một trang mà con người có thể hiểu được, hầu hết không có công việc dành riêng cho máy, chẳng hạn như JOSN, mã thập lục phân, mã hóa cơ sở, v.v. Đây là vấn đề tương tác với ví hiện tại mà tôi đã đề cập ở trên. mọi người không biết nó có ý nghĩa gì sau khi họ nhấp vào
2. Phần phụ trợ của ứng dụng cần cung cấp hỗ trợ đầy đủ có thể sử dụng được cho thiết bị đầu cuối của nó và không yêu cầu sửa đổi ví bắt buộc. Điều này chủ yếu được yêu cầu để không tạo ngưỡng trải nghiệm cho người dùng khi truy cập SiwE.
3. Đối với các ví ứng dụng đã sử dụng SiwE, phải thực hiện đường dẫn nâng cấp đơn giản và trực tiếp như đã đề cập ở trên, sẽ có số phiên bản xác định các bản nâng cấp SiwE tiếp theo cũng phải đảm bảo tính tương thích.
4. Cần chuẩn bị đầy đủ để phòng ngừa các cuộc tấn công lặp lại, chữ ký độc hại, v.v.
Ngoài ra, vấn đề quản lý khóa cũng được đề cập trong tài liệu, đó là vì SiwE hy vọng sẽ có nhiều sản phẩm Web2 có thể truy cập được và đưa nhiều người dùng bên ngoài vào thế giới Web3 hơn, nhưng người dùng phổ thông đã quen với việc "tìm" Web2 sản phẩm có chức năng "Trả lại mật khẩu", nếu khóa riêng của bạn bị mất trong Web3 thì không thể lấy lại được, vì vậy vấn đề này có ngưỡng giáo dục cao đối với một số lượng lớn người dùng Web2. Trên thực tế, chúng tôi cũng rất mong được phổ biến rộng rãi. trừu tượng hóa tài khoản ví AA để giải quyết vấn đề này một cách thực sự hiệu quả.
Trên đây là cách giải thích về sự thay đổi từ hệ thống tài khoản Web2 sang Web3 dựa trên EIP-4361. Trên thực tế, bản thân EIP-4361 không phải là một sự kiện có tác động lớn như việc loại bỏ tài khoản và nâng cấp Thượng Hải. Nhưng chính kiểu tối ưu hóa thầm lặng này sẽ dần dần cải thiện trải nghiệm của người dùng Web2 và Web3.