我在ConsenSys为各种客户构建了大量的概念证明,通常他们想要利用以太坊区块链来解决某些业务用例。奇怪的是,这些系统通常设计有标准的网络登录(即用户名和密码)。我总是问自己为什么我还在这样做设计,毕竟,这是今天以太网目前可以解决每个烦人的Web应用程序的一个方面。所以我决定停下脚步,设计一下这个解决方案。
一旦调用了回调,它将调用以下操作:
JSON Web token
登录标准Web系统(和/或使用其API)的一种非常流行的方法是将密码(经过哈希的客户端)提交给认证端点并接收token作为回报。这通常称为JSON Web Token,通常在一段有限的时间内(几分钟到几天)有效。这是一个关于标准实现的很好的教程。 JSON Web Token很好,我开始认为在区块链上验证自己很容易。事实上,当你使用以太坊时,你需要不断地去改进。 如果你将以太网地址(这只是公钥的sha3哈希)视为网站上的帐户,则可以通过使用私钥对一段数据进行签名来证明你拥有该帐户,这非常容易。此数据是任意的,可以是网站API提供的任意随机字符串。因此,我们可以使用地址作为用户名并绕过密码的需要。事实上,我们甚至不需要使用区块链来做到这一点。 这是使用Express的样子: 首先,我们需要使用私钥进行椭圆曲线签名: var ethUtil = require(‘ethereumjs-util’); // >=5.1.1
var data = ‘i am a string’;
// Elliptic curve signature must be done on the Keccak256 Sha3 hash of a piece of data.
var message = ethUtil.toBuffer(data);
var msgHash = ethUtil.hashPersonalMessage(message);
var sig = ethUtil.ecsign(msgHash, privateKey);
var serialized = ethUtil.bufferToHex(this.concatSig(sig.v, sig.r, sig.s))
return serialized
var jwt = require(‘jsonwebtoken’);
var ethUtil = require('ethereumjs-util');
function checkSig(req, res) {
var sig = req.sig;
var owner = req.owner;
// Same data as before
var data = ‘i am a string’;
var message = ethUtil.toBuffer(data)
var msgHash = ethUtil.hashPersonalMessage(message)
// Get the address of whoever signed this message
var signature = ethUtil.toBuffer(sig)
var sigParams = ethUtil.fromRpcSig(signature)
var publicKey = ethUtil.ecrecover(msgHash, sigParams.v, sigParams.r, sigParams.s)
var sender = ethUtil.publicToAddress(publicKey)
var addr = ethUtil.bufferToHex(sender)
// Determine if it is the same address as 'owner'
var match = false;
if (addr == owner) { match = true; }
if (match) {
// If the signature matches the owner supplied, create a
// JSON web token for the owner that expires in 24 hours.
var token = jwt.sign({user: req.body.addr}, ‘i am another string’, { expiresIn: “1d” });
res.send(200, { success: 1, token: token })
} else {
// If the signature doesn’t match, error out
res.send(500, { err: ‘Signature did not match.’});
}
}
function auth(req, res, next) {
jwt.verify(req.body.token, ‘i am another string’, function(err, decoded) {
if (err) { res.send(500, { error: ‘Failed to authenticate token.’}); }
else {
req.user = decoded.user;
next();
};
});
}
// Routes
app.post(‘/UpdateData’, auth, Routes.UpdateData);
…
user参数,因为我们知道它已经在我们的中间件中设置了。
POST/UpdateData
function UpdateData(req, res) {
// Only use the user that was set in req by auth middleware!
var user = req.user;
updateYourData(user, req.body.data);
...
}
UI方面
用户如何在浏览器中实际签署此数据?Metamask会提供帮助!Metamask是一个整洁的chrome扩展,它将web3注入你的浏览器窗口。 mycomponent.jsx makeSig(dispatch) {
function toHex(s) {
var hex = ‘’;
for(var i=0;iI am a webpage
);
}
authenticate(sig, user) {
return (dispatch) => {
fetch(`${this.api}/Authenticate`, {
method: 'POST',
body: JSON.stringify({ owner: user, sig: sig}),
headers: { "Content-Type": "application/json" }
})
.then((res) => { return res.text(); })
.then((body) => {
var token = JSON.parse(body).token;
dispatch({ type: 'SET_AUTH_TOKEN', result: token})
})
}
}
v,r和s值。Metamask有一个签名util模块,用于显示签名的构造方式。它可以像这样解构:
var solidity_sha3 = require('solidity-sha3').default;
let hash = solidity_sha3(data);
let sig = result.result.substr(2, result.result.length);
let r = sig.substr(0, 64);
let s = sig.substr(64, 64);
let v = parseInt(sig.substr(128, 2));
r将被解析为0或1.另请注意,这使用solidity-sha3模块来确保此哈希算法与用作solidity本机hash方法的哈希算法相同(我们正在hash之前签名的十六进制字符串))。
生产准备
我无法强调使用JSON Web token的每个Web应用程序今天都可以轻松利用这一点。具有Metamask扩展的任何用户都可以简单地绕过登录屏幕,其安全性可能比目前用于管理登录的任何内容都要好。这意味着更少的忘记密码,更少的浪费时间和更快乐的用户群。 而且,你知道,如果你希望你的用户在没有中间人的情况下向对方(或你或使用此用户的任何其他系统上的用户)付款,或者如果你想要利用以太坊的其他百万其他功能,那么你需要也这样做。 今天开始,加入我们以太坊,去征服世界。 原文链接 - 不要再在以太坊和Metamask开发web时使用密码正文结束
图片
表情Ctrl + Enter