原文标题：万物研究院 | 从 EIP 4361 ，探索 Web2 到 Web3 账户体系变革

原文作者：陈剑 Jason

EIP 4361 是与以太坊登录相关的技术规范标准提案，以太坊登录 SiwE（Sign-in with Ethereum）是一种去中心化的身份验证方法，它使用户能够使用他们的以太坊账户实现统一登录并控制身份，而不是依赖于由中心化的公司用的传统用户名/密码身份验证，Vitalik 在之前的访谈中曾经提出了认为 2023 年 Web3 的三个最大机会，其中就包括以太坊登录，他表示任何有助于以太坊从 Facebook、google 和 twitter 等中心化垄断企业手中夺走登录权的技术，最终都会使以太坊在互联网应用程序中获得更多市场主导地位，所以登录体系是 Vitalik 认为争抢下一个 10 亿人重要的方向。

其实对于以太坊来说现在我能够感受到其内部的焦虑感，虽然以太坊当前的地位看似不可撼动，但现在面对的竞争压力也非常的大，尤其是前有 aptos、sui 这些高性能新公链，后又有以 Cosmos 为代表的应用链行业链，所以这也是以太坊必须如此坚决的转 POS、搞 Layer、做分片等动作的原因，在共识和性能上做出优化加筹码，另一方面也是在面对 C 端的入口级领域如 ENS 和登录等领域做的更深，与 C 端深度绑定打造自己的护城河，另外值得注意的是 EIP 4361 背后有三家支持方，分别为以太坊基金会、ENS 和 Spruce，除以太坊基金会外另外两家都是 DID 公司，某种程度可以说是两家 DID 公司与以太坊基金会一起建立行业标准，所以该标准不能完全具备中立性，能看到文档中与 ENS 绑定也比较深度，包括可以解析 ENS 域名等。

其中 ENS 大家已经很熟悉了，对于 Spruce 比较陌生，中文区几乎少有对它的报道和解读，它的使命是一家致力于让用户可以控制自己个人数据，得到包括 A16Z、YC 等一众明星资本的支持，其所在的领域从类别划分属于 DID 大类下面的 SSI 自我主权身份，使个人能够控制自己的身份数据，包括决定哪些第三方应用可以使用它，如何使用等问题，所以如果说我们常理解的 DID 是通过数据收集后证明你是谁，那 SSI 则是专注于数据层面的授权、使用和管理。

toC 的登录体系可以使用腾讯阿里这类生态级企业解决方案，toB 的登录体系同样面临更麻烦的问题，因为随着企业的发展内部使用的产品会五花八门，来源包括第三方定制化采购、SaaS 厂商、自研等，再加上员工众多涉及到大量的权限、数据安全等问题，所以如何能够让上万名员工顺畅且安全的使用内部数百个产品也是需要被解决的问题，有如 Authing、Okta 等公司为企业提供单点登录解决方案。

以上就是传统 Web2 经历了这 20 年对于账户身份体系的主要演变，Web3 给普通用户在体验上很直观的区别就在于用一个钱包就可以使用所有 Web3 的产品，这是最直接的能够让用户感受到区块了这全球一张网的含义，或者说是真正实现了「互联」网。

但因链上资产的特性导致每个人要为自己的安全负责，不再像 Web2 那样存在一个可以有责任和义务保证用户资金安全的第三方平台了，从而面临用户会被大量的暴露在充满钓鱼网站的环境中，只要进行了相关签名和授权资产就可能被盗，尤其是目前以 metamask 为代表的钱包交互时披露的信息太少，并且可读性非常差，非技术背景的人甚至大多时候都看不懂要求进行签名和授权的弹窗内容到底意味着什么，所以需要对于索取用户签名授权的动作制定严格的标准，充分的告诉用户要执行的内容。

EIP-4361 明确了以太坊账户如何通过链下服务进行身份验证的标准过程，这样身份验证通过签署标准消息格式进行，该消息格式使用会话详细信息、安全机制和范围进行结构化，即会以标准的字段参数进行展示，为开发者提供了 Web2 和 Web3 应用创建统一身份层的基础设施，这个过程对于用户来说是免费的，只需要在消息上进行签名，不需要与区块链进行交易，也不需要向矿工支付 Gas。

如文档中所说「作为 web2 公司，您将有机会成为用户进入 web3 的第一个接触点，并帮助他们控制自己的数字身份」，SiwE 是希望能够通过将连接钱包-发送签名-完成登录这个过程标准化出来后，让更多的 Web2 产品可以接入，成为一个登录选项，就像是我们在使用某些产品时，可以让我们选择登录方式包括谷歌登录、twitter 登录、facebook 登录，下面就可以再放一个以太坊登录，通过登录入口嵌入从而覆盖极大规模用户的 web2 产品。

对于这些 web2 产品接入 SiwE 的动力则是可以根据用户公开的链上资产进行对应的服务，即如果用谷歌、twitter 登录也只是完成登录这一个动作而已，但是用以太坊登录则可以根据用户持有资产情况做出更多特定的服务，如若持有某个 NFT 则可以打 8 折之类的。

下图为 SiwE 的模板消息、完整的 ABNF 和对应的弹窗样式，可见以非常结构标准化的方式透出了用户要执行的内容 Message、请求登录的网址 URI、当前版本 Version、所登录的链 Chain ID、防止重放攻击的 Nonce、登录的有效时间 Issued AT 和结束时间 Expires AT。

其中 ABNF 全程是扩充巴科斯范式 (Augmented Backus–Naur form)，是描述一种作为双向通信协议的语言的形式系统，这也是 EIP-4361 的重点，将登录过程进行标准化。

除了标准化登录以外，EIP-4361 还可以一定程度预防钓鱼攻击，目前每天都发生大量的用户被钓鱼网站盗取资产的事件，其中 EIP-4361 在钱包进行登录的过程中有三个步骤

1. 验证消息，检查签名内容是否符合上文中提到的 ABNF 标准格式

2. 验证域名，如果符合 EIP-4361 的登录标准，钱包会验证发起登录的网址是否符合 ABNF 中所提交的网址，从而避免张冠李戴

3. 然后创建以太坊登录弹窗，其中存在的规范是必须要充分的向用户展示所有的条款，并要求用户将页面滚动到最底部再进行签名，即类似于很多 APP 的用户准则一样，要拉到最下面确保名义上的读完才可以执行下一步