Thông tin xác thực kỹ thuật số là những tài liệu có thể xác minh bằng mật mã và có thể dùng để xác thực, uỷ quyền hoặc cung cấp thông tin về người dùng. Đây thường là những thứ như giấy phép lái xe di động, hộ chiếu kỹ thuật số, thẻ lên máy bay, v.v. Chúng nằm trong các vùng chứa ảo được gọi là ví điện tử và là một phần của tiêu chuẩn W3C quy định cách truy cập và truy xuất chúng. Tiêu chuẩn này được triển khai cho các trường hợp sử dụng trên web bằng W3C Credential Management API và trên Android bằng DigitalCredential API của Trình quản lý thông tin xác thực.
Tìm hiểu về thông tin đăng nhập kỹ thuật số
Trong thế giới thực, một người có thể giữ giấy tờ tuỳ thân trong ví và xuất trình cho bên yêu cầu khi được hỏi:
Trong trường hợp này, người dùng thường có một ví duy nhất và truy xuất thông tin đăng nhập được yêu cầu từ ví để trình bày cho người yêu cầu. Hầu hết các ví đều có thể thay thế cho nhau và thường có thể lưu trữ cùng một loại thẻ và vé.
Thông tin đăng nhập kỹ thuật số có những điểm khác biệt sau so với thông tin đăng nhập trong thế giới thực:
- Người dùng dự kiến sẽ có nhiều ví (còn gọi là người nắm giữ) có thể chứa nhiều thông tin xác thực khác nhau. Ví xác định thông tin đăng nhập nào có thể được lưu trữ bên trong.
- Ứng dụng hoặc dịch vụ yêu cầu thông tin đăng nhập để cấp quyền truy cập hoặc xác minh danh tính được gọi là bên xác minh.
- Thực thể tạo thông tin xác thực và khẳng định các tuyên bố về thực thể (chẳng hạn như trường đại học, chính phủ hoặc công ty công nghệ) được gọi là tổ chức phát hành.
- Thông tin xác thực được trình bày trong phần mềm, tức là một giao diện API sẽ truy xuất và trình bày thông tin xác thực – trong Android, đây là Trình quản lý thông tin xác thực.
Do đó, Trình quản lý thông tin xác thực đảm nhận một số vai trò mà trước đây do người dùng xử lý:
- Trên Android, ví phải đăng ký siêu dữ liệu thông tin xác thực với Trình quản lý thông tin xác thực để được liệt kê trong giao diện người dùng Trình quản lý thông tin xác thực.
- Trình quản lý thông tin xác thực so khớp thông tin xác thực trên các ví dựa trên yêu cầu và trình bày một danh sách để người dùng chọn.
- Khi người dùng chọn một thông tin xác thực trong danh sách, Trình quản lý thông tin xác thực sẽ gọi ví. Ví này sẽ xử lý phần còn lại của giao dịch (hiển thị giao diện người dùng, v.v.) và trả lại thông tin xác thực cho ứng dụng.
Quy trình này được minh hoạ ở đây:
Thông tin xác thực có thể xác minh
Thông tin xác thực có thể xác minh là một nhóm nhỏ của thông tin xác thực kỹ thuật số, chịu sự điều chỉnh của các tiêu chuẩn nghiêm ngặt (chẳng hạn như Mô hình dữ liệu thông tin xác thực có thể xác minh của W3C). Những thông tin xác thực này chứa các tuyên bố được bảo mật bằng mật mã, giúp chúng chống giả mạo và chứng minh chính xác ai đã phát hành chúng.
Không phải tất cả thông tin xác thực kỹ thuật số đều là thông tin xác thực có thể xác minh, nhưng tất cả thông tin xác thực có thể xác minh đều là thông tin xác thực kỹ thuật số.
Ý nghĩa của việc xác minh một tuyên bố
Khi một thông tin xác thực đến thông qua Android Credential Manager API và một yêu cầu trong thông tin xác thực đó được đánh dấu là "đã xác minh", điều này có nghĩa là tổ chức phát hành đang khẳng định rằng họ đã kiểm tra phần dữ liệu cụ thể đó. Tuy nhiên, điều đó không có nghĩa là dữ liệu là một sự thật tuyệt đối và phổ quát. "Đã xác minh" là một tuyên bố về quy trình, không phải là sự đảm bảo tự động về độ tin cậy.
Triết lý cốt lõi của hệ sinh thái này là niềm tin luôn được giải quyết tại trình xác minh. Khi nhận được dữ liệu được bảo mật bằng mật mã và thấy rằng tổ chức phát hành đã đánh dấu dữ liệu đó là "đã xác minh", trình xác minh (ứng dụng của bạn) phải xác định xem có tin tưởng tổ chức phát hành đã xác minh yêu cầu theo tiêu chuẩn của tổ chức phát hành hay không.
Trải nghiệm người dùng
Như minh hoạ trong quy trình trên Android, người dùng chỉ cần tương tác một lần với giao diện người dùng Trình quản lý thông tin xác thực để chọn thông tin xác thực phù hợp. Sau đây là ví dụ về giao diện của bộ chọn:
Tiêu chuẩn
Yêu cầu thông tin đăng nhập kỹ thuật số được tạo bằng tiêu chuẩn OpenID4VP. Bạn có thể xem các yêu cầu mẫu tại trang web minh hoạ Thông tin đăng nhập kỹ thuật số.
Các phản hồi về thông tin xác thực kỹ thuật số thường được trả về ở định dạng thông tin xác thực tiêu chuẩn. Những tiêu chuẩn này do các tổ chức tiêu chuẩn khác nhau duy trì, bao gồm Thông tin xác thực có thể xác minh của W3C, sd-jwt và mdoc.
Các giao thức tuỳ chỉnh cũng khả thi, mặc dù bạn nên sử dụng một trong các giao thức tiêu chuẩn trong ứng dụng của mình.
Dùng thử
Bạn có thể kiểm thử quy trình xác thực thông tin đăng nhập kỹ thuật số trên nhiều nền tảng bằng ví Android và trình xác minh dựa trên web:
- Cài đặt mẫu công khai CMWallet trên điện thoại Android.
Bạn có thể thực hiện việc này bằng cách kéo từ kho lưu trữ và cài đặt trực tiếp từ Android Studio hoặc chuyển đến https://github.com/digitalcredentialsdev/CMWallet/actions rồi chọn bản dựng mới nhất để truy cập vào tệp
app-debug.apkmới nhất. - Mở CMWallet để đăng ký siêu dữ liệu bằng Trình quản lý thông tin xác thực. Đảm bảo bạn đã bật Bluetooth để cho phép các thiết bị kết nối với nhau.
- Truy cập vào https://digital-credentials.dev/ rồi chọn
Request Credentials (OpenID4VP). - Chấp nhận các lời nhắc cảnh báo và quét mã QR bằng điện thoại, sau đó chọn "Sử dụng khoá truy cập" rồi nhấn vào nút xác nhận để xem các thông tin đăng nhập hiện có.
- Chọn thông tin xác thực trong CMWallet để quay lại trình duyệt. Trình duyệt sẽ hiển thị thông tin xác thực được trả về.
Xem thêm
- Để tìm hiểu thêm về cách sử dụng Trình quản lý thông tin xác thực để yêu cầu thông tin chứng nhận kỹ thuật số trong ứng dụng của bạn, hãy đọc trang Credential Manager – Verifier API.
- Để tìm hiểu thêm về cách tạo ví điện tử bằng Trình quản lý thông tin xác thực, hãy đọc trang Trình quản lý thông tin xác thực – API của người nắm giữ.