去中心化标识符(DID)是一种用于可验证的“自我主权”数字身份的新型标识符。DID完全由DID控制者控制,独立于任何中心化注册机构、身份提供者或证书颁发机构。DID解析为DID文档——描述如何使用该特定DID的简单文档。
本文档规定了解析DID和解引用DID URL的算法和指南。
欢迎对本文档提出意见。请直接在 GitHub 上提交问题,
或发送至
public-did-wg@w3.org
(订阅,
存档)。
本规范的部分工作由美国国土安全部科学技术局资助,合同号为 HSHQDC-17-C-00019。本规范的内容不一定反映美国政府的立场或政策,也不应推断为官方认可。
本规范的工作也得到了由 Christopher Allen、Shannon Appelcline、Kiara Robles、Brian Weller、Betty Dhamers、Kaliya Young、Kim Hamilton Duffy、Manu Sporny、Drummond Reed、Joe Andrieu 和 Heather Vescent 主持的“重启 Web 信任”社区的支持。
DID参数
DID URL 语法支持一种简单的参数格式
(参见 [[DID-CORE]] 中的 查询 部分)。向 DID URL 添加DID参数意味着该参数成为 资源 标识符的一部分。
did:example:123?versionTime=2021-05-10T17:00:00Z
did:example:123?service=files&relativeRef=/resume.pdf
一些DID参数完全独立于任何特定的 DID方法,并且对所有 DID 的功能相同。其他DID参数并非所有 DID方法 都支持。在支持可选参数的情况下,期望这些参数在支持它们的 DID方法 中统一操作。下表提供了在所有 DID方法 中功能相同的常见DID参数。支持所有 DID参数 是可选的。
实现者以及 DID方法 规范作者可能会使用此处未列出的其他DID参数。为了最大程度的互操作性,建议DID参数使用DID规范注册机制 [[?DID-SPEC-REGISTRIES]],以避免与具有不同语义的相同DID参数的其他用途发生冲突。
如果存在明确的用例,其中参数需要成为 URL 的一部分以更精确地引用 资源,则可以使用DID参数。如果相同的功能可以通过将输入元数据传递给 DID解析器 来表达,则预计不会使用DID参数。
DID解析 和 DID URL解引用 功能可以通过传递 或 给 DID解析器 来影响,这些选项不是 DID URL 的一部分。这与 HTTP 类似,某些参数可以包含在 HTTP URL 中,或者作为 HTTP 头在解引用过程中传递。重要的区别在于,作为 DID URL 一部分的DID参数应该用于指定 正在识别的 资源,而不作为 DID URL 一部分的输入元数据应该用于控制 如何解析或解引用该 资源。
DID解析
DID解析 功能通过使用适用的 DID方法 的“读取”操作将 DID 解析为 DID文档,如 方法操作 中所述。所有符合规范的 DID解析器 都实现了以下函数,其抽象形式如下:
resolve(did, resolutionOptions) →
«DIDResolutionMetadata,DIDDocument,DIDDocumentMetadata »
所有符合规范的 DID解析器 必须为至少一种 DID方法 实现 DID解析 功能,并且必须能够返回至少一种符合规范的 表示 的 DID文档。
符合规范的 DID解析器 实现不会以任何方式更改此函数的签名。DID解析器 实现可能会将 resolve 函数映射到方法特定的内部函数以执行实际的 DID解析 过程。DID解析器 实现可能会实现并暴露具有不同签名的其他函数,除了此处指定的 resolve 函数。
resolve 函数的输入变量如下:
-
did
-
这是要解析的 DID。此输入是必需的,值必须是符合 中定义的 DID。
-
resolutionOptions
-
一个 元数据结构,包含 中定义的属性。此输入是必需的,但结构可能为空。
此函数返回多个值,并且对这些值如何一起返回没有限制。resolve 的返回值包括 didResolutionMetadata、didDocument 和 didDocumentMetadata。这些值描述如下:
-
didResolutionMetadata
-
一个 元数据结构,包含与 DID解析 过程结果相关的值,这些值通常在
resolve 函数的调用之间变化,因为它表示解析过程本身的数据。此结构是必需的,并且在解析过程中出现错误时,此结构不能为空。此元数据由 定义。如果解析不成功,此结构必须包含一个描述错误的 error 属性。
-
didDocument
-
如果解析成功,这必须是一个 DID文档,它能够以 [[[DID]]] 规范中定义的符合规范的 表示 之一表示。解析的 DID文档 中的
id 值必须与解析的 DID 匹配。如果解析不成功,此值必须为空。
-
didDocumentMetadata
-
如果解析成功,这必须是一个 元数据结构。此结构包含
didDocument 属性中包含的 DID文档 的元数据。此元数据通常在 resolve 函数的调用之间不会变化,除非 DID文档 发生变化,因为它表示 DID文档 的元数据。如果解析不成功,此输出必须是一个空的 元数据结构。此规范定义的属性在 中。
DID解析选项
此结构中的可能属性及其可能值在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下常见属性。
-
accept
-
调用者首选的 DID文档 的媒体类型。媒体类型必须表示为 ASCII 字符串。DID解析器 实现应使用此值来确定返回的
didDocument 的 表示,如果支持并可用此类 表示。此属性是可选的。
-
expandRelativeUrls
-
一个布尔标志,指示 DID解析器 将 相对DID URL 扩展为符合 DID URL语法 的绝对DID URL。
- versionId
-
参见 中的定义。
- versionTime
-
参见 中的定义。
DID解析元数据
此结构中的可能属性及其可能值在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下DID解析元数据属性:
-
contentType
-
返回的
didDocument 的媒体类型。此属性是可选的。如果存在,此属性的值必须是一个 ASCII 字符串,它是符合规范的 表示 的媒体类型。在这种情况下,resolve 函数的调用者必须使用此值来确定如何解析和处理 didDocument。
-
error
-
解析过程中的错误代码。当解析过程中出现错误时,此属性是必需的。此属性的值必须是一个单一的关键字 ASCII 字符串。此字段的可能属性值应在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下常见错误值:
-
invalidDid
-
提供给 DID解析 函数的 DID 不符合有效语法。(参见 。)
-
notFound
-
DID解析器 无法找到此解析请求生成的 DID文档。
-
representationNotSupported
-
如果通过
accept 输入元数据属性请求的 表示 不受 DID方法 和/或 DID解析器 实现支持,则返回此错误代码。
算法
以下 DID解析 算法必须由符合规范的 DID解析器 实现。
- 验证 输入 DID 是否符合 DID语法 中的 `did` 规则。
如果不符合,DID解析器 必须返回以下结果:
- didResolutionMetadata:
«[ "error" → "invalidDid", ... ]»
- didDocument:
null
- didDocumentMetadata:
«[ ]»
- 确定 输入 DID 的DID方法是否由实现此算法的 DID解析器 支持。如果不支持,DID解析器 必须返回以下结果:
- didResolutionMetadata:
«[ "error" → "methodNotSupported", ... ]»
- didDocument:
null
- didDocumentMetadata:
«[ ]»
- 通过执行 读取 操作,从 输入 DID 的 可验证数据注册表 中获取 DID文档,如 输入 DID方法 所定义:
- 除了 输入 DID 外,此算法的所有其他 解析选项 都必须传递给 输入 DID方法 的 读取 操作。
- 如果 输入 DID 不存在,返回以下结果:
- didResolutionMetadata:
«[ "error" → "notFound", ... ]»
- didDocument:
null
- didDocumentMetadata:
«[ ]»
- 如果 输入 DID 已被停用,返回以下结果:
- didResolutionMetadata:
«[ ... ]»
- didDocument:
null
- didDocumentMetadata:
«[ "deactivated" → true, ... ]»
- 否则,读取 操作的结果称为 输出 DID文档。此结果必须以与 accept 输入 DID解析选项 对应的符合规范的 表示 表示。
- 如果 输入 DID解析选项 包含值为
true 的 expandRelativeUrls 选项:
- 遍历 服务、验证方法 和 验证关系 中的所有 输出 DID文档。
- 如果 服务 或 验证方法 的
id 属性值(包括嵌入在 验证关系 中的值)是 相对DID URL,或者如果 验证关系 是 相对DID URL:
- 根据 相对DID URL 的规则,将 相对DID URL 解析为符合 DID URL语法 的绝对 DID URL。
- 更新 输出 DID文档,将 相对DID URL 替换为解析后的绝对 DID URL。
- 返回以下结果:
- didResolutionMetadata:
«[ ... ]»
- didDocument: 输出DID文档
- didDocumentMetadata:
«[ "contentType" → 输出DID文档媒体类型, ... ]»
关于如何处理已被 停用 的DID的讨论正在进行中。
指定在DID解析过程中如何验证DID文档上的签名/证明。
我们是否应该定义功能,使客户端能够发现 DID解析器 支持的 DID方法 列表或其他功能?或者这是实现特定的,超出本规范的范围?例如,参见 这里 和 这里。
DID URL解引用
DID URL解引用 功能将 DID URL 解引用为 资源,其内容取决于 DID URL 的组件,包括 DID方法、方法特定的标识符、路径、查询和片段。此过程依赖于 DID解析 包含在 DID URL 中的 DID。DID URL解引用 可能涉及多个步骤(例如,当被解引用的DID URL包含片段时),并且该函数定义为在所有步骤完成后返回最终资源。下图描述了上述关系。
DID URL解引用概述
参见:叙述性描述。
图的左上部分包含一个黑色轮廓的矩形,标记为 "DID"。
图的左下部分包含一个黑色轮廓的矩形,标记为 "DID URL"。
此矩形包含四个较小的黑色轮廓矩形,水平排列相邻。这些较小的矩形分别标记为 "DID"、"路径"、"查询" 和 "片段"。
图的右上部分包含一个黑色轮廓的矩形,标记为 "DID文档"。
此矩形包含三个较小的黑色轮廓矩形。这些较小的矩形分别标记为 "id"、"(属性 X)" 和 "(属性 Y)",并被多个省略号(...)包围。一个弯曲的黑色箭头,标记为 "DID文档 - 相对片段解引用",从标记为 "(属性 X)" 的矩形延伸到标记为 "(属性 Y)" 的矩形。
图的右下部分包含一个黑色轮廓的椭圆形,标记为 "资源"。
一个黑色箭头,标记为 "解析为DID文档",从图的左上部分标记为 "DID" 的矩形指向图的右上部分标记为 "DID文档" 的矩形。
一个黑色箭头,标记为 "引用",从图的右上部分标记为 "DID文档" 的矩形指向图的右下部分标记为 "资源" 的椭圆形。
一个黑色箭头,标记为 "包含",从图的左下部分标记为 "DID" 的小矩形指向图的左上部分标记为 "DID" 的矩形。
一个黑色箭头,标记为 "解引用为DID文档",从图的左下部分标记为 "DID URL" 的矩形指向图的右上部分标记为 "DID文档" 的矩形。
一个黑色箭头,标记为 "解引用为资源",从图的左下部分标记为 "DID URL" 的矩形指向图的右下部分标记为 "资源" 的椭圆形。
所有符合规范的 DID解析器 都实现了以下函数,其抽象形式如下:
dereference(DID URL, dereferenceOptions) →
« dereferencingMetadata, contentStream, contentMetadata »
dereference 函数的输入变量如下:
-
DID URL
-
一个符合规范的 DID URL,作为单个 字符串。这是要解引用的 DID URL。要解引用 DID片段,必须使用包含 DID片段 的完整 DID URL。此输入是必需的。
虽然任何 DID URL 都可以传递给DID URL解引用器,但实现者应参考 以进一步了解 DID URL 如何被解引用的常见模式。
-
dereferencingOptions
-
一个 元数据结构,包含除
DID URL 本身之外的 dereference 函数的输入选项。此规范定义的属性在 中。此输入是必需的,但结构可能为空。
此函数返回多个值,并且对这些值如何一起返回没有限制。dereference 的返回值包括 dereferencingMetadata、contentStream 和 contentMetadata:
-
dereferencingMetadata
-
一个 元数据结构,包含与 DID URL解引用 过程结果相关的值。此结构是必需的,并且在解引用过程中出现错误时,此结构不能为空。此规范定义的属性在 中。如果解引用不成功,此结构必须包含一个描述错误的
error 属性。
-
contentStream
-
如果
dereferencing 函数被调用并成功,这必须包含与 DID URL 对应的 资源。contentStream 可以是 资源,例如可以以符合规范的 表示 之一序列化的 DID文档、验证方法、服务,或任何其他可以通过媒体类型标识并通过解析过程获得的资源格式。如果解引用不成功,此值必须为空。
-
contentMetadata
-
如果解引用成功,这必须是一个 元数据结构,但结构可能为空。此结构包含
contentStream 的元数据。如果 contentStream 是 DID文档,这必须是 didDocumentMetadata 结构,如 DID解析 中所述。如果解引用不成功,此输出必须是一个空的 元数据结构。
符合规范的 DID URL解引用 实现不会以任何方式更改这些函数的签名。DID URL解引用 实现可能会将 dereference 函数映射到方法特定的内部函数以执行实际的 DID URL解引用 过程。DID URL解引用 实现可能会实现并暴露具有不同签名的其他函数,除了此处指定的 dereference 函数。
DID URL解引用选项
此结构中的可能属性及其可能值应在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下常见的解引用选项属性:
-
accept
-
调用者首选的
contentStream 的媒体类型。媒体类型必须表示为 ASCII 字符串。DID URL解引用 实现应使用此值来确定返回的 表示 的 contentType,如果支持并可用此类 表示。
此结构中的可能属性及其可能值已在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下常见属性。
-
contentType
-
如果解引用成功,返回的
contentStream 的媒体类型应使用此属性表示。媒体类型值必须表示为 ASCII 字符串。
-
error
-
解引用过程中的错误代码。当解引用过程中出现错误时,此属性是必需的。此属性的值必须为单个关键字,表示为 ASCII 字符串。此字段的可能属性值应在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册。本规范定义了以下常见错误值:
-
invalidDID URL
-
提供给 DID URL解引用 函数的 DID URL 不符合有效语法。(参见 。)
-
notFound
-
DID URL解引用器 无法找到此解引用请求产生的
contentStream。
算法
以下 DID URL解引用 算法必须由符合规范的 DID解析器 实现。根据 [[RFC3986]],它包含以下三个步骤:解析DID;解引用资源;以及解引用片段(仅当 输入 DID URL 包含 DID片段 时):
解引用资源
- 验证 输入 DID URL 是否符合 DID URL语法 的 `did-url` 规则。如果不符合,DID URL解引用器 必须返回以下结果:
- dereferencingMetadata:
«[ "error" → "invalidDID URL" ]»
- contentStream:
null
- contentMetadata:
«[ ]»
- 通过执行 DID解析 算法获取 输入 DID 的 DID文档,如 中所定义。所有 解引用选项 和 输入 DID URL 的所有 DID参数 必须作为 解析选项 传递给 DID解析 算法。
- 如果 输入 DID 在 VDR 中不存在,DID URL解引用器 必须返回以下结果:
- dereferencingMetadata:
«[ "error" → "notFound", ... ]»
- contentStream:
null
- contentMetadata:
«[ ]»
- 否则,DID解析 算法的 didDocument 结果称为 解析的 DID文档。
- 如果存在,从 输入 DID URL 中分离 DID片段 并继续使用调整后的 输入 DID URL。
- 如果 输入 DID URL 不包含 DID路径 和 DID查询:
did:example:1234
DID URL解引用器 必须返回 解析的 DID文档 和 解析的 ,如下所示:
- dereferencingMetadata:
«[ ... ]»
- contentStream:
resolvedDIDdocument
- contentMetadata:
«[ resolvedDIDdocument metadata ]»
- 如果 输入 DID URL 包含 DID参数
hl:
did:example:1234?hl=zQmWvQxTqbG2Z9HPJgG57jjwR154cKhbtJenbyYTWkjgF3e
-
TODO: 指定处理 `hl`DID参数的算法。
- 如果 输入 DID URL 包含 DID参数
service 和可选的 relativeRefDID参数:
did:example:1234?service=files&relativeRef=%2Fmyresume%2Fdoc%3Fversion%3Dlatest
- 从 解析的 DID文档 中选择 服务端点,其
id 属性包含与 输入 DID URL 的 serviceDID参数值匹配的片段。这称为 输入 服务端点。
- 执行 服务端点构建 算法:
- 读取 输入 服务端点 的
serviceEndpoint 属性的值。这称为 输入 服务端点 URL。
- 将 输入 DID URL 和 输入 服务端点 URL 传递给 服务端点构建 算法。
- 结果称为 输出 服务端点 URL。
- 返回以下结果:
- dereferencingMetadata:
«[ ... ]»
- content: output service endpoint URL
- contentMetadata:
«[ "contentType" → "text/uri-list", ... ]»
- 否则,如果 输入 DID URL 包含 DID路径 和/或 DID查询:
did:example:1234/custom/path?customquery
- 适用的 DID方法 可以指定如何解引用 输入 DID URL 的 DID路径 和/或 DID查询。
did:example:1234/resources/1234
- 扩展规范可以指定如何解引用 输入 DID URL 的 DID路径。
did:example:1234/whois
- 扩展规范可以指定如何解引用 输入 DID URL 的 DID查询。
did:example:1234?transformKey=JsonWebKey
- 客户端可以以应用程序特定的方式解引用 输入 DID URL。
- 如果此算法、适用的 DID方法、扩展或客户端都无法解引用 输入 DID URL,则返回以下结果:
- dereferencingMetadata:
«[ "error" → "notFound" ]»
- contentStream:
null
- contentMetadata:
«[ ]»
除了DID参数 service 之外,是否还可以有一个DID参数 serviceType 来根据服务的类型而不是 ID 选择服务。参见 Dave Longley 的评论 关于 `serviceType`。
解引用片段
如果 输入 DID URL 包含 DID片段,则片段的解引用取决于资源的媒体类型 ([[RFC2046]]),即 的结果。
- 如果 的结果是 输出 服务端点 URL,并且 输入 DID URL 包含 DID片段:
did:example:1234?service=files&relativeRef=%2Fmyresume%2Fdoc%3Fversion%3Dlatest#intro
- 如果 输出 服务端点 URL 包含
fragment 组件,则引发错误。
- 将 DID片段 附加到 输出 服务端点 URL。换句话说,输出 服务端点 URL “继承” 了 输入 DID URL 的 DID片段。
- 返回 输出 服务端点 URL。
- 否则,根据资源的媒体类型 ([[RFC2046]]) 解引用DID片段。例如,如果资源是媒体类型为
application/did 的DID文档表示,则片段根据与 JSON-LD 1.1: application/ld+json 媒体类型 [JSON-LD11] 相关的规则进行处理。
DID片段 的这种使用方式与 [[RFC3986]] 中片段标识符的定义一致。它标识了 主资源(即 DID文档)的一个 子资源。
DID片段 的这种行为类似于在 HTTP URL 中解引用片段时的处理方式,当解引用它返回带有 Location 头的 HTTP 3xx(重定向)响应时(参见 [[RFC7231]] 的第 7.1.2 节)。
示例
给定以下 输入 DID URL:
did:example:123456789abcdefghi#keys-1
... 以及以下 解析的 DID文档:
{
"@context": "https://www.w3.org/ns/did/v1",
"id": "did:example:123456789abcdefghi",
"verificationMethod": [{
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Ed25519VerificationKey2018",
"controller": "did:example:123456789abcdefghi",
"publicKeyBase58": "H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}],
"service": [{
"id": "did:example:123456789abcdefghi#agent",
"type": "AgentService",
"serviceEndpoint": "https://agent.example.com/8377464"
}, {
"id": "did:example:123456789abcdefghi#messages",
"type": "MessagingService",
"serviceEndpoint": "https://example.com/messages/8377464"
}]
}
... 那么 算法的结果是以下 输出资源:
{
"@context": "https://www.w3.org/ns/did/v1",
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Ed25519VerificationKey2018",
"controller": "did:example:123456789abcdefghi",
"publicKeyBase58": "H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}
给定以下 输入 DID URL 和与上述相同的 解析的 DID文档:
did:example:123456789abcdefghi?service=messages&relativeRef=%2Fsome%2Fpath%3Fquery#frag
... 那么 算法的结果是以下 输出 服务端点 URL:
https://example.com/messages/8377464/some/path?query#frag
将DID URL解引用为服务端点 URL。
更改图表和/或示例以使其一致。
在 DID解析、DID URL解引用 和其他DID相关过程中,通常涉及输入和输出元数据。用于传达此元数据的结构必须是一个 映射 属性。每个属性名称必须是一个 字符串。每个属性值必须是一个 字符串、映射、列表、集合、布尔值 或 null。任何复杂数据结构(如映射和列表)中的值也必须是这些数据类型之一。在DID规范注册表 [[?DID-SPEC-REGISTRIES]] 中注册的所有元数据属性定义必须定义值类型,包括该值的任何其他格式或限制(例如,格式化为日期或十进制整数的字符串)。建议属性定义使用字符串作为值。整个元数据结构必须根据 [[INFRA]] 规范中的 JSON 序列化规则 可序列化。实现可以将元数据结构序列化为其他数据格式。
所有使用元数据结构作为输入或输出的函数的实现都能够以确定性的方式完全表示此处描述的所有数据类型。由于使用元数据结构的输入和输出是根据数据类型而不是其序列化定义的,因此 表示 的方法是函数实现内部的,不在本规范的范围内。
以下示例演示了可能用作 DID解析输入元数据 的 JSON 编码元数据结构。
{
"accept": "application/did+ld+json"
}
此示例对应于以下格式的元数据结构:
«[
"accept" → "application/did+ld+json"
]»
下一个示例演示了可能用作 DID解析元数据 的 JSON 编码元数据结构,如果未找到 DID。
{
"error": "notFound"
}
此示例对应于以下格式的元数据结构:
«[
"error" → "notFound"
]»
下一个示例演示了可能用作 DID文档元数据 的 JSON 编码元数据结构,用于描述与 DID文档 关联的时间戳。
{
"created": "2019-03-23T06:35:22Z",
"updated": "2023-08-10T13:40:06Z"
}
此示例对应于以下格式的元数据结构:
«[
"created" → "2019-03-23T06:35:22Z",
"updated" → "2023-08-10T13:40:06Z"
]»
DID解析架构
TODO: 描述 DID解析器 如何实现和使用,描述 DID方法 的相关性。解释“方法架构”和“解析器架构”之间的区别。
DID解析结果
本节定义了一个数据结构,表示中描述的算法的结果。DID解析结果包含DID文档以及DID解析元数据和DID文档元数据。
此数据结构的媒体类型定义为`application/ld+json;profile="https://w3id.org/did-resolution"`。
示例
{
"@context": "https://w3id.org/did-resolution/v1",
"didDocument": {
"@context": "https://www.w3.org/ns/did/v1",
"id": "did:example:123456789abcdefghi",
"authentication": [{
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Ed25519VerificationKey2018",
"controller": "did:example:123456789abcdefghi",
"publicKeyBase58": "H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}],
"service": [{
"id":"did:example:123456789abcdefghi#vcs",
"type": "VerifiableCredentialService",
"serviceEndpoint": "https://example.com/vc/"
}]
},
"didResolutionMetadata": {
"contentType": "application/did+ld+json",
"retrieved": "2024-06-01T19:73:24Z",
},
"didDocumentMetadata": {
"created": "2019-03-23T06:35:22Z",
"updated": "2023-08-10T13:40:06Z",
"method": {
"nymResponse": {
"result": {
"data": "{\"dest\":\"WRfXPg8dantKVubE3HX8pw\",\"identifier\":\"V4SGRU86Z58d6TV7PBUe6f\",\"role\":\"0\",\"seqNo\":11,\"txnTime\":1524055264,\"verkey\":\"H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV\"}",
"type": "105",
"txnTime": 1.524055264E9,
"seqNo": 11.0,
"reqId": 1.52725687080231475E18,
"identifier": "HixkhyA4dXGz9yxmLQC4PU",
"dest": "WRfXPg8dantKVubE3HX8pw"
},
"op": "REPLY"
},
"attrResponse": {
"result": {
"identifier": "HixkhyA4dXGz9yxmLQC4PU",
"seqNo": 12.0,
"raw": "endpoint",
"dest": "WRfXPg8dantKVubE3HX8pw",
"data": "{\"endpoint\":{\"xdi\":\"http://127.0.0.1:8080/xdi\"}}",
"txnTime": 1.524055265E9,
"type": "104",
"reqId": 1.52725687092557056E18
},
"op": "REPLY"
}
}
}
}
参见相应的开放问题。
需要定义此数据结构的确切工作方式,以及它是否始终包含DID文档,或者也可以包含其他结果。
对于某些数据,可能存在争议,它是否应该属于DID文档(即描述DID主体的数据),或者它是否是元数据(即关于DID文档或DID解析过程的数据)。例如BTCR方法中的“延续DID文档”的URL。
DID URL解引用结果
本节定义了一个数据结构,用于表示在中描述的算法的结果。DID URL解引用结果包含任意内容以及
DID解析元数据和内容元数据。
参见相关的开放问题。
此数据结构的媒体类型定义为`application/ld+json;profile="https://w3id.org/did-resolution"`。
示例
{
"@context": "https://w3id.org/did-resolution/v1",
"content": {
"@context": "https://www.w3.org/ns/did/v1",
"id": "did:example:123456789abcdefghi",
"authentication": [{
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Ed25519VerificationKey2018",
"controller": "did:example:123456789abcdefghi",
"publicKeyBase58": "H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}],
"service": [{
"id":"did:example:123456789abcdefghi#vcs",
"type": "VerifiableCredentialService",
"serviceEndpoint": "https://example.com/vc/"
}]
},
"DID URLDereferencingMetadata": {
"contentType": "application/did+ld+json",
"retrieved": "2024-06-01T19:73:24Z",
},
"contentMetadata": {
"created": "2019-03-23T06:35:22Z",
"updated": "2023-08-10T13:40:06Z",
"method": {
"nymResponse": {
"result": {
"data": "{\"dest\":\"WRfXPg8dantKVubE3HX8pw\",\"identifier\":\"V4SGRU86Z58d6TV7PBUe6f\",\"role\":\"0\",\"seqNo\":11,\"txnTime\":1524055264,\"verkey\":\"H3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV\"}",
"type": "105",
"txnTime": 1.524055264E9,
"seqNo": 11.0,
"reqId": 1.52725687080231475E18,
"identifier": "HixkhyA4dXGz9yxmLQC4PU",
"dest": "WRfXPg8dantKVubE3HX8pw"
},
"op": "REPLY"
},
"attrResponse": {
"result": {
"identifier": "HixkhyA4dXGz9yxmLQC4PU",
"seqNo": 12.0,
"raw": "endpoint",
"dest": "WRfXPg8dantKVubE3HX8pw",
"data": "{\"endpoint\":{\"xdi\":\"http://127.0.0.1:8080/xdi\"}}",
"txnTime": 1.524055265E9,
"type": "104",
"reqId": 1.52725687092557056E18
},
"op": "REPLY"
}
}
}
}
内容元数据
这是一个元数据结构(参见[[DID-CORE]]中的元数据结构部分),包含有关内容的元数据。
此元数据通常在DID URL解引用函数的调用之间不会发生变化,除非内容发生变化,因为它表示有关内容的数据。
添加更多关于内容元数据如何工作的细节。
错误
invalidDid
如果在DID解析过程中检测到无效的DID,
DID解析元数据error属性的值必须为invalidDid,
如部分所定义。
invalidDID URL
如果在DID解析或DID URL解引用过程中检测到无效的DID URL,
DID解析或DID URL解引用元数据error属性的值必须为invalidDID URL,
如部分所定义。
notFound
如果在DID解析或DID URL解引用过程中DID或DID URL不存在,
DID解析或DID URL解引用元数据error属性的值必须为notFound,
如和部分所定义。
representationNotSupported
如果在DID解析或DID URL解引用过程中不支持DID文档的表示形式,
DID解析元数据error属性的值必须为representationNotSupported,
如部分所定义。
methodNotSupported
如果在DID解析或DID URL解引用过程中不支持DID方法,
DID解析或DID URL解引用元数据error属性的值必须为methodNotSupported。
internalError
当在DID解析或DID URL解引用过程中发生意外错误时,
DID解析或DID URL解引用元数据error属性的值必须为internalError。
invalidPublicKey
如果在DID解析或DID URL解引用过程中检测到无效的公钥值,
DID解析或DID URL解引用元数据error属性的值必须为invalidPublicKey。
invalidPublicKeyLength
如果在DID解析或DID URL解引用过程中,rawPublicKeyBytes的字节长度与关联的multicodecValue的预期公钥长度不匹配,
DID解析或DID URL解引用元数据error属性的值必须为invalidPublicKeyLength。
invalidPublicKeyType
如果在DID解析或DID URL解引用过程中检测到无效的公钥类型,
DID解析或DID URL解引用元数据error属性的值必须为invalidPublicKeyType。
unsupportedPublicKeyType
如果在DID解析或DID URL解引用过程中检测到不支持的公钥类型,
DID解析或DID URL解引用元数据error属性的值必须为unsupportedPublicKeyType。
绑定
本节定义了和部分中抽象算法的绑定。
HTTP(S) 绑定
本节定义了一个DID解析器的绑定,通过HTTP(S)端点暴露DID解析和/或DID URL解引用功能(包括所有解析/解引用选项和元数据)。参见。
HTTP(S)绑定是一个远程绑定。它需要一个已知的HTTP(S) URL,远程DID解析器可以在该URL上被调用。此URL称为DID解析器 HTTP(S) 端点。
使用此绑定,DID解析功能(参见)和/或DID URL解引用功能(参见)可以按以下方式执行:
- 使用DID解析器 HTTP(S) 端点初始化请求HTTP(S) URL。
https://resolver.example/1.0/identifiers/
- 对于DID解析功能:
- 将输入 DID附加到请求HTTP(S) URL。
https://resolver.example/1.0/identifiers/did:example:1234
- 将
Accept HTTP 请求头设置为`application/ld+json;profile="https://w3id.org/did-resolution"`以请求完整的,或者
- 将
Accept HTTP 请求头设置为解析选项中的accept值。
- 如果提供了其他解析选项:
- 输入 DID必须进行URL编码(如RFC3986 第2.1节所指定)。
- 将所有解析选项(除了accept)编码为请求HTTP(S) URL中的查询参数。
https://resolver.example/1.0/identifiers/did%3Aexample%3A1234?option1=value1&option2=value2
- 对于DID URL解引用功能:
- 将输入 DID URL附加到请求HTTP(S) URL。
https://resolver.example/1.0/identifiers/did:example:1234?service=files&relativeRef=/resume.pdf
- 将
Accept HTTP 请求头设置为`application/ld+json;profile="https://w3id.org/did-url-dereferencing"`以请求完整的,或者
- 将
Accept HTTP 请求头设置为解引用选项中的accept值。
- 如果提供了其他解引用选项:
- 输入 DID URL必须进行URL编码(如RFC3986 第2.1节所指定)。
- 将所有解引用选项(除了accept)编码为请求HTTP(S) URL中的查询参数。
https://resolver.example/1.0/identifiers/did%3Aexample%3A1234%3Fservice%3Dfiles%26relativeRef%3D%2Fresume.pdf?option1=value1&option2=value2
- 在请求HTTP(S) URL上执行HTTP
GET请求。这将调用远程DID解析器上的DID解析或DID URL解引用功能。
- 如果DID解析或DID URL解引用功能在didResolutionMetadata或dereferencingMetadata中返回error元数据属性,
则HTTP响应状态码必须对应于error元数据属性的值,根据以下表格:
|
错误
|
HTTP 状态码
|
invalidDid
|
400
|
invalidDID URL
|
400
|
notFound
|
404
|
representationNotSupported
|
406
|
methodNotSupported
|
501
|
internalError
|
500
|
|
(其他值)
|
500
|
- 如果DID解析或DID URL解引用功能在didDocumentMetadata或contentMetadata中返回deactivated元数据属性,且其值为
true:
- HTTP响应状态码必须为
410。
- 对于DID解析功能:
- 如果
Content-Type HTTP 响应头的值为`application/ld+json;profile="https://w3id.org/did-resolution"`:
- HTTP 主体必须包含DID解析结果(参见),这是DID解析功能的结果。
- 如果功能成功并返回didDocument:
- HTTP响应状态码必须为
200。
- HTTP响应必须包含
Content-Type HTTP 响应头。其值必须为didResolutionMetadata中的contentType元数据属性的值(参见)。
- HTTP响应主体必须包含DID解析功能的结果didDocument,其表示形式对应于
Content-Type HTTP 响应头。
- 对于DID URL解引用功能:
- 如果
Content-Type HTTP 响应头的值为`application/ld+json;profile="https://w3id.org/did-url-dereferencing"`:
- HTTP 主体必须包含DID URL解引用结果(参见),这是DID URL解引用功能的结果。
- 如果功能成功并返回contentStream,且contentType元数据属性的值为
text/uri-list:
- HTTP响应状态码必须为
303。
- HTTP响应必须包含
Location头。该头的值必须为输出 服务端点 URL。
- HTTP响应主体必须为空。
- 如果功能成功并返回contentStream,且contentType为其他值:
- HTTP响应状态码必须为
200。
- HTTP响应必须包含
Content-Type HTTP 响应头。其值必须为dereferencingMetadata中的contentType元数据属性的值(参见)。
- HTTP响应主体必须包含DID URL解引用功能的结果contentStream,其表示形式对应于
Content-Type HTTP 响应头。
DID解析示例
给定以下DID解析器 HTTP(S) 端点:
https://resolver.example/1.0/identifiers/
以及以下输入 DID:
did:sov:WRfXPg8dantKVubE3HX8pw
则请求HTTP(S) URL为:
https://resolver.example/1.0/identifiers/did:sov:WRfXPg8dantKVubE3HX8pw
可以通过以下方式调用HTTP(S)绑定:
curl -X GET https://resolver.example/1.0/identifiers/did:sov:WRfXPg8dantKVubE3HX8pw
HTTP(S)绑定的其他示例:
通过HTTP(S)调用resolve()。
通过HTTP(S)调用resolve()。
DID URL解引用示例
HTTP(S)绑定的其他示例:
通过HTTP(S)调用dereference()。
通过HTTP(S)调用dereference()。
服务端点构建
本节定义了服务端点构建的输入和算法,该算法返回一个服务端点 URL作为输出。此算法在DID URL解引用过程中选择服务端点时使用(参见)。
在本节中,path、query和fragment的定义遵循[[RFC3986]]。
算法
- 将字符串输出服务端点URL初始化为输入服务端点URL的值
- 如果输出服务端点URL包含
query组件,则移除该组件
- 如果输出服务端点URL包含
fragment组件,则移除该组件
- 将输入DID URL的
path组件追加到输出服务端点URL中
- 如果输入服务端点URL包含
query组件,则在输出服务端点URL后追加?加上query
- 如果输入DID URL包含
query组件,则在输出服务端点URL后追加?加上query
- 如果输入服务端点URL包含
fragment组件,则在输出服务端点URL后追加#加上fragment
- 如果输入DID URL包含
fragment组件,则在输出服务端点URL后追加#加上fragment
- 返回输出服务端点URL
我们可能允许输入DID URL和输入服务端点URL同时包含query组件,前提是它们都包含可以合并的键/值参数列表。
服务端点构建算法的细节已在2019年4月的CCG邮件列表中讨论过,例如这里或这里。
我们可以考虑复用[[RFC3986]]中定义的“相对解析”算法,而不是定义自己的算法。
参见对应的开放问题。
示例
给定以下输入服务端点URL:
https://example.com/messages/8377464
以及以下输入DID URL:
did:example:123456789abcdefghi?service=messages&relativeRef=%2Fsome%2Fpath%3Fquery#frag
则输出服务端点URL为:
https://example.com/messages/8377464/some/path?query#frag
安全与隐私考虑
认证/授权
DID解析和DID URL解引用不涉及任何认证或授权功能。类似于DNS解析,任何人都可以执行此过程,无需任何凭据或非公开知识。
说明DID不一定是全局可解析的,例如成对或N-wise的“对等”DID。
参见[[RFC3339]]:
URI具有全局范围,无论上下文如何,其解释都是一致的,尽管解释结果可能与最终用户的上下文相关。
一个高级的想法是,DID解析的结果可能是上下文相关的或依赖于策略,参见此评论。
一个相关主题是DID文档(或部分)是否可以加密,例如w3c/did-core/issues/25。另见IPIDDID方法中片段的使用。
缓存
DID解析器可以维护DID文档的通用缓存,也可以维护特定于某些DID方法的缓存。
可以使用noCache解析选项来请求特定的缓存行为。
此解析选项是可选的。
该属性的可能值包括:
缓存行为可以通过DID解析器的配置、noCache解析选项或DID文档内容(例如`cacheMaxTtl`字段)或其组合来控制。
参见对应的开放问题。
或许我们可以复用其他协议(如HTTP)的缓存机制。
非DID标识符
关于DID解析与非DID标识符(如域名、HTTP URI或电子邮件地址)解析之间关系的讨论正在进行中。这包括如何从非DID标识符中发现DID,以及如何使标识符之间的链接可验证。
DID方法治理
描述DID解析器应支持哪些方法,以及潜在的影响。
未来工作
本节列出了正在讨论中但尚未纳入算法的其他DID URL解引用功能。
重定向
服务端点可能具有
一个serviceEndpoint属性,其值本身是一个DID。这被解释为从输入DID到另一个DID的“DID重定向”。在这种情况下,可以启动一个“子”DID解析过程以到达“最终”服务端点。
客户端可以提供follow-redirect解析选项作为提示,指示是否应遵循重定向。此解析选项是可选的。
参见对应的开放问题。
DID重定向不仅可以应用于单个服务端点,还可以应用于整个DID文档,从而实现可移植性用例。
{
"id": "did:example:123456789abcdefghi#hub1",
"type": "HubService",
"serviceEndpoint": "did:example:xyz"
}
代理
DID文档可能包含“代理”服务类型,该类型将提供一个需要遵循的映射,以解析到最终的服务URL。
{
"id": "did:example:123456789abcdefghi",
"type": "ProxyService",
"serviceEndpoint": "https://mydomain.com/proxy"
}
JSON指针
正在讨论几种选择DID文档部分的方法,包括使用JSON指针。
参见对应的PR 这里
和这里。
