是不是能在 Web 服务上引入类似 SSH 的公钥认证的身份验证方式

你可能想要的是 https 双向认证？

yubikey

热知识：HTTPS 支持客户端证书

同上，客户端证书就好：

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_verify_client

WebAuthn ？

现代浏览器支持 fido2 的。硬件钥匙

关键词 web3 , 以太坊.
目前 dapp 都是直接使用钱包登录。

WebAuthn

从 2009 年我们就在用 https client cert verification 了

HTTPS 双向认证感觉和 SSH 很像，但还是要依赖 CA，SSH 只需要一个谁都能生成的公私钥对就行了（大概）
yubikey 之类的需要购买第三方硬件
webauthn.io 感觉像是整合？不过才发现 TPM 居然也能拿来认证，但对于多端不太方便

这些东西最大的问题感觉还是门槛太高不好推开

@KirbySD #11 WebAuthn 可以用 Windows Hello 、Face ID 等

@dingwen07 我觉得内置在设备中的可信模块会导致用户更换平台时需要迁移（或者说重新建立关联关系），会提高用户的学习成本
不过确实很方便，比用户自行生成私钥之类的好很多

@KirbySD #13 所以说账号密码不可丢，WebAuthn 只是提高便捷和安全性（比如不可能钓鱼）

@KirbySD 不用 CA 的话某些环境下还不如密码安全，ssh 也支持 CA.

@flynaj #15 哪些环境啊？我好避坑。

@v2tudnew 一般 key 就是一个文件，文件被复制了，但最近没有使用你觉察不到。

@flynaj #17 那 CA 能判断这个密钥是被复制了？

证书登录很早就有啊，银行的 u 盾就是（私钥加密在硬件里）

@flynaj 这和 CA 没关系。而是要 TPM 。不用 TPM 的话，证书登录也就是一个比较长的密码而已。虽然比短密码安全，但也就那么回事。
但是如果正确使用 TPM，那安全的同时还更方便。可以用短密码，因为重试次数过多 TPM 可以锁死或自毁

CA 解决的是两个不认识的人之间的信任问题。这里没有这个问题。这里用户可以把公钥（证书）告诉网站，网站已经靠用户名和密码验证过用户的身份。当然，有 CA 的话更方便，都不用上传证书信息了