FROM : https://docs.blockstack.org/develop/overview_auth.html#manifest-file
Blockstack Auth提供单点登录和认证,无需第三方或远程服务器。在这个页面上,您将从开发人员和用户的角度获得身份验证的概述。包括以下主题:
用户体验流程
DApp身份验证流程
作用域
blockstack:自定义协议处理程序
清单文件
密钥对
——— 交通私钥
——— Blockstack ID身份地址私钥
——— 应用私钥
JSON Web令牌签名
——— 示例:authRequest有效负载模式
——— 示例:authResponse有效负载模式
用户体验流程
Blockstack认证是一种基于承载令牌的认证系统。从应用程序用户的角度来看,blockstack身份验证类似于他们熟悉的传统第三方身份验证技术。应用程序向用户提供一个带有Blockstack按钮的登录。
假设用户Alice在应用程序上单击带有Blockstack按钮的Sign in。她将被重定向到她的Blockstack浏览器副本。用户看到的blockstack登录对话框取决于用户是否已经为当前设备拥有了一个现有的blockstack浏览器会话。
[图片上传失败...(image-2cb3d5-1563951125179)]
使用标识登录是用户授予DApp访问权限的方法。访问取决于DApp请求的范围。默认的store_write范围允许DApp读取用户配置文件,并为DApp读取/写入用户数据。数据在Gaia存储中心上的唯一URL处加密。
Alice可以使用自己的一个blockstack ID选择身份验证并登录到DApp中。
- 你的应用程序的来源
- 你的应用程序的名字
- 你的应用程序的标志
- 应用程序请求的权限和数据类型
当她选择一个ID(或创建一个新ID)时,Alice被重定向回她登录的DApp。
DApp身份验证流
对于应用程序开发人员,应用程序流类似于集中登录服务(例如OAuth)使用的典型客户机-服务器流。然而,使用Blockstack,身份验证流程完全在客户端进行。
去中心化应用程序(DApp)和blockstack浏览器在身份验证流期间通过来回传递两个令牌进行通信。请求应用程序向块堆栈浏览器发送一个authRequest令牌。一旦用户批准登录,块堆栈浏览器就会使用authResponse令牌响应应用程序。这些令牌是JSON Web令牌,它们通过URL查询字符串传递。
当用户选择在DApp上使用Blockstack登录时,它调用redirectToSignIn()方法,该方法向Blockstack浏览器发送authRequest。Blockstack通过authRequest参数中的URL查询字符串传递令牌:
https://browser.blockstack.org/auth?authRequest=j902120cn829n1jnvoa…
当Blockstack浏览器接收到请求时,它使用临时传输键向应用程序生成一个(authResponse)令牌。临时传输键仅用于应用程序的特定实例,在本例中,用于签名authRequest。应用程序在请求生成期间存储临时传输密钥。传输密钥的公共部分在authRequest令牌中传递。blockstack浏览器使用密钥的公共部分加密通过authResponse返回的应用程序私有密钥。
在登录期间,blockstack浏览器从用户的身份地址私钥和应用程序的appDomain生成应用程序私钥。app私钥有三个功能:
- 它用于创建凭据,让应用程序访问特定应用程序的Gaia存储桶。
- 它用于在用户的Gaia存储中对应用程序存储的文件进行端到端加密。
- 它作为一个密码秘密,应用程序可以使用它来执行其他密码功能。
最后,app私钥是确定性的,这意味着对于给定的用户ID和域名,每次都会生成相同的私钥。
作用域
作用域定义用户通过登录对话框请求的权限和接受的权限。DApp可要求下列任何范围:
| 范围 | 定义 |
|---|---|
| store_write | 在特定于应用程序的存储桶中读写数据到用户的Gaia Hub。 |
| publish_data | 发布数据,以便应用程序的其他用户可以发现并与用户交互。 |
| 如果可用,请求用户的电子邮件。 |
权限范围应该通过AppConfig对象指定。如果redirectToSignIn或makeAuthRequest函数没有提供作用域数组,则默认为request ['store_write’]。
blockstack:自定义协议处理程序
blockstack :自定义协议处理程序是blockstack应用程序如何将其身份验证请求发送到blockstack浏览器的。用户可以在自己的设备上本地安装blockstack浏览器,也可以使用web版本的blockstack浏览器。如果在用户的计算机上安装了blockstack浏览器,它将自己注册为blockstack:customer协议的处理程序。
当应用程序调用redirectToSignIn或redirectToSignInWithAuthRequest时,blockstack.js检查是否安装了blockstack: protocol handler,如果安装了,则将用户重定向到blockstack:<authRequestToken>。这将身份验证请求令牌从应用程序传递到本地blockstack浏览器。如果没有安装本地blockstack浏览器,调用将定向到blockstack浏览器的web版本。
清单文件
Blockstack应用程序有一个清单文件。此文件基于W3C web应用程序清单规范。下面是一个示例清单文件。
{
"name": "Todo App”,
"start_url": "http://blockstack-todos.appartisan.com”,
"description": "A simple todo app build on blockstack”,
"icons": [{
"src": "http://blockstack-todos.appartisan.com/logo.png”,
"sizes": “400x400”,
"type": "image/png”
}]
}
Blockstack浏览器在身份验证过程中从应用程序检索清单文件,并在其中显示信息,如应用程序名称和用户登录期间。应用程序清单文件的位置在身份验证请求令牌中是特定的,并且必须与请求身份验证的应用程序位于同一原点。
—
清单文件必须具有跨源资源共享(Cross-origin resource sharing, CORS)头文件,允许从任意源获取清单文件。这通常意味着返回像这样的头部:
Access-Control-Allow-Origin: *
如何实现CORS在一定程度上取决于您使用哪个平台/服务来服务您的应用程序。例如,Netlify和Firebase有两种配置CORS的不同方法。有关更多信息,请参考供应商文档。
密钥对
Blockstack Auth广泛使用公钥加密技术。blockstack使用ECDSA和secp256k1曲线。以下各节描述认证过程中使用的三对公钥对:
- 他们是如何生成的
- 他们使用
- 向谁公开私钥
传输私钥
transit private是一个临时密钥,用于加密需要在身份验证过程中从Blockstack浏览器传递给应用程序的秘密。它是由应用程序在身份验证响应开始时随机生成的。
与传输私钥对应的公钥存储在身份验证请求令牌的public_keys密钥中的单个元素数组中。Blockstack浏览器使用这个公钥加密应用程序的私钥等秘密数据,并在用户登录应用程序时将其发送回应用程序。
Blockstack ID身份地址私钥
私钥的身份地址来自用户的密钥链短语和私钥Blockstack ID,用户选择使用登录到应用程序。这是一个秘密由用户和从未离开过的用户实例Blockstack浏览器拥有。
此私钥为应用程序签署身份验证响应令牌,以指示用户批准登录该应用程序。
应用私钥
app私钥是一个特定于app的私钥,它使用domain_name作为输入,从用户的身份地址私钥生成。这是确定的,因为对于给定的blockstack ID和domain_name,每次都会生成相同的私钥。
应用程序私钥在每次身份验证时与应用程序安全共享,并由blockstack浏览器使用传输公钥加密。
JSON Web令牌签名
authRequest和authResponse令牌都是JSON Web令牌,它们通过URL查询字符串传递。
Blockstack的认证令牌基于RFC 7519 OAuth JSON Web令牌(JWT),并支持比特币和许多其他加密货币使用的secp256k1曲线。
该签名算法通过在令牌的alg密钥中指定ES256K来表示,指定JWT签名使用ECDSA和secp256k1曲线。Blockstack为JavaScript和Ruby JWT库提供了对这种签名算法的支持。
示例:authRequest有效负载模式
const requestPayload = {
jti, // UUID
iat, // JWT creation time in seconds
exp, // JWT expiration time in seconds
iss, // legacy decentralized identifier generated from transit key
public_keys, // single entry array with public key of transit key
domain_name, // app origin
manifest_uri, // url to manifest file - must be hosted on app origin
redirect_uri, // url to which browser redirects user on auth approval - must be hosted on app origin
version, // version tuple
do_not_include_profile, // a boolean flag asking browser to send profile url instead of profile object
supports_hub_url, // a boolean flag indicating gaia hub support
scopes // an array of string values indicating scopes requested by the app
}
示例:authResponse有效负载模式
const responsePayload = {
jti, // UUID
iat, // JWT creation time in seconds
exp, // JWT expiration time in seconds
iss, // legacy decentralized identifier (string prefix + identity address) - this uniquely identifies the user
private_key, // encrypted private key payload
public_keys, // single entry array with public key
profile, // profile object or null if passed by profile_url
username, // blockstack id username (if any)
core_token, // encrypted core token payload
email, // email if email scope is requested & email available
profile_url, // url to signed profile token
hubUrl, // url pointing to user's gaia hub
version // version tuple
}
