Show HN: Anonymous Age Verification
9 months ago
- #authentication
- #banking
- #privacy
- 利用银行现有KYC机制实现零存储、保护隐私的年龄验证,无需透露用户身份或访问站点信息。
- 银行签署年龄声明而非身份信息;商户验证令牌时不存储个人数据。
- 用户通过复制/粘贴值在商户与银行间充当传输层,确保无重定向或服务器间调用。
- 该框架专为匿名年龄验证设计,利用现有KYC机制,避免个人信息泄露、繁琐证件上传或行为追踪。
- 流程包含商户随机数、WebAuthn密钥生成、银行认证及无用户数据存储的令牌验证。
- 基于HMAC随机数和WebAuthn的无状态商户验证,无需数据库支持。
- 短期有效令牌与一次性密钥增强隐私保护,防止跨站点关联。
- 可选功能如IP前缀或UA哈希可加强防重放攻击,但会轻微影响隐私性。
- 集成Passkey实现初次验证后一键返回,优化用户体验。
- 安全措施包括令牌有效期控制、WebAuthn用户验证断言及可信银行JWKs,防范令牌重放或盗用等威胁。
- 开放社区贡献,包括参考实现、开发库及威胁建模等资源。