链上身份如何被构建

DID 架构与核心组成

DID 的设计目标是在不依赖中心化身份提供方的前提下，实现可验证、可扩展且长期可用的数字身份，其架构并不直接存储完整身份信息，而是采用标识 + 解析 + 凭证的组合方式。

从整体结构来看，一个典型的 DID 系统通常由以下几个核心组件构成：

• DID 标识符（DID Identifier）：用于唯一标识一个主体，格式通常为 did:method:identifier
• DID 文档（DID Document）：描述该身份的公钥、验证方法、服务端点等信息
• 可验证凭证（Verifiable Credentials）：由第三方签发、用于证明特定属性的声明
• 去中心化存储或链上锚定机制：确保身份信息不可篡改且长期可用

这种架构的关键在于最小上链原则：区块链只负责记录不可变的关键信息，而具体数据则可以灵活存放在链下或去中心化存储中，从而兼顾安全性与扩展性。

公私钥、解析与注册机制

在 DID 体系中，加密技术是身份可信性的基础，与传统账号密码不同，DID 通过公私钥对来完成身份控制与验证，避免了中心化验证节点的存在。

具体而言，DID 的生成与使用通常包含以下流程：

• 用户本地生成一组或多组公私钥
• 私钥由用户自行保管，用于签名与身份证明
• 公钥被写入 DID 文档，供外部验证使用
• DID 标识与文档通过链上或注册合约进行锚定

当外部系统需要验证某个 DID 时，会通过 DID Resolver（解析器） 查询对应的 DID 文档，并使用其中的公钥验证签名是否有效，这种解析过程是开放且标准化的，不依赖任何单一机构。

需要注意的是，DID 并不等同于区块链地址，一个 DID 可以关联多个密钥，并支持密钥轮换、撤销与权限分级，这使得身份在长期使用中更具安全性与灵活性。

主流 DID 方法与标准

为了适配不同底层网络与使用场景，DID 并不存在唯一实现方式，而是通过 DID Method 扩展，每一种 DID 方法都定义了身份的注册、更新与解析规则。

目前较具代表性的 DID 方法包括：

• did:ethr：基于以太坊地址与智能合约的 DID 实现
• did:key：无需链上注册，直接由公钥派生的轻量级 DID
• did:web：通过域名与 HTTPS 托管 DID 文档，便于现有 Web 系统整合
• did:ion：基于比特币网络与 Sidetree 协议的高扩展性方案

在标准层面，DID 与可验证凭证主要由 W3C 推动制定，其核心价值在于：

• 确保不同 DID 方法之间的互操作性
• 让身份验证逻辑具备跨平台、跨生态的通用性
• 为 Web3、企业系统与公共服务提供统一接口

随着标准逐步成熟，DID 正从实验性技术走向可规模化部署的基础设施。