DID登陆-MetaMask

Krito
更新于 2022-09-05 11:43
阅读 2139

DID登陆是未来最流行的登陆方式

# 实现原理

![3328cbd382804497973d6de31c59b446.png](https://img.learnblockchain.cn/attachments/2022/09/0UWePhrh631574b2e7fee.png!/scale/50)

# 参考文献
[One-click Login with Blockchain: A MetaMask Tutorial](https://www.toptal.com/ethereum/one-click-login-flows-a-metamask-tutorial#how-the-login-flow-works)

# 以太坊接口文档
[JSON RPC · ethereum/wiki Wiki](https://github.com/ethereum/wiki/wiki/JSON-RPC)

# 优势
 - **提高安全性**：通过公钥加密证明所有权可以说比通过电子邮件/密码或第三方证明所有权更安全，因为 MetaMask将凭据存储在本地计算机上，而不是在线服务器上，这使得攻击面更小。
 -  **简化的用户体验**：快速登陆，无需输入或记住任何密码。
 - **增加隐私**：无需电子邮件，不涉及第三方。

# 缺陷
 - **用户需要安装 MetaMask**：如果没有 MetaMaskAPP或安装插件的浏览器，这个登录流程显然是行不通的。如果受众用户对Web3不感兴趣或者未知，他们甚至会考虑安装 MetaMask的可能性很小。
 - **后端集成工作**：要将其集成到现有的复杂系统中，需要对涉及身份验证的所有业务进行一些更改：注册、数据库、身份验证路由等。因为每个帐户都将与一个或多个公共地址相关联。
 - **WEB及APP端工作**：要通过唤醒MetaMask软件进行消息签名并传递给后端

# 后端代码实现
 1. 底层实现
```java
public static void main(String[] args) {
    Credentials credentials = Credentials.create(privatekey);
    String message = "Hello";
    byte[] hashMsg = Hash.sha3(message.getBytes());
    Sign.SignatureData signature = Sign.signMessage(hashMsg, credentials.getEcKeyPair(), false);
    byte[] sig_data = ByteBuffer.allocate(signature.getR().length + signature.getS().length + signature.getV().length)
            .put(signature.getR())
            .put(signature.getS())
            .put(signature.getV())
            .array();
    final String hexSig = Numeric.toHexStringNoPrefix(sig_data);
    System.out.printf("签名后的字符串：%s\n", hexSig);
}
```
 2. 接口实现
```java
@PostMapping("/oauthLogin/metamask")
public ResultVo metaMaskLogin(@Valid @RequestBody MetamaskLoginReq metamaskLoginReq) {
    String publicAddress = metamaskLoginReq.getPublicAddress();
    String signature = metamaskLoginReq.getSignature();
    String message = metamaskLoginReq.getMessage();

// 地址合法性校验
    if (!WalletUtils.isValidAddress(publicAddress)) {
        return ResultVo.fail("地址格式非法！");
    }

// 校验签名信息
    if (!CryptoUtils.validate(signature, message, publicAddress)) {
        return ResultVo.fail("签名校验失败！");
    }
    
    //认证通过之后 开始业务处理
    return ResultVo.success();
}
```

# 成功效果：

![在这里插入图片描述](https://img-blog.csdnimg.cn/e2ba0312d34f4b11b724b12501cb4e5e.png)

# 失败效果：
![在这里插入图片描述](https://img-blog.csdnimg.cn/0456c62968684fbbaabdb48dc8279cfb.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/02abbb876bf54e8eb394615f7b9dfabc.png)

实现原理

参考文献

One-click Login with Blockchain: A MetaMask Tutorial

以太坊接口文档

JSON RPC · ethereum/wiki Wiki

优势

提高安全性：通过公钥加密证明所有权可以说比通过电子邮件/密码或第三方证明所有权更安全，因为 MetaMask将凭据存储在本地计算机上，而不是在线服务器上，这使得攻击面更小。
简化的用户体验：快速登陆，无需输入或记住任何密码。
增加隐私：无需电子邮件，不涉及第三方。

缺陷

用户需要安装 MetaMask：如果没有 MetaMaskAPP或安装插件的浏览器，这个登录流程显然是行不通的。如果受众用户对Web3不感兴趣或者未知，他们甚至会考虑安装 MetaMask的可能性很小。
后端集成工作：要将其集成到现有的复杂系统中，需要对涉及身份验证的所有业务进行一些更改：注册、数据库、身份验证路由等。因为每个帐户都将与一个或多个公共地址相关联。
WEB及APP端工作：要通过唤醒MetaMask软件进行消息签名并传递给后端

后端代码实现

底层实现

public static void main(String[] args) {
Credentials credentials = Credentials.create(privatekey);
String message = "Hello";
byte[] hashMsg = Hash.sha3(message.getBytes());
Sign.SignatureData signature = Sign.signMessage(hashMsg, credentials.getEcKeyPair(), false);
byte[] sig_data = ByteBuffer.allocate(signature.getR().length + signature.getS().length + signature.getV().length)
        .put(signature.getR())
        .put(signature.getS())
        .put(signature.getV())
        .array();
final String hexSig = Numeric.toHexStringNoPrefix(sig_data);
System.out.printf("签名后的字符串：%s\n", hexSig);
}

接口实现

@PostMapping("/oauthLogin/metamask")
public ResultVo metaMaskLogin(@Valid @RequestBody MetamaskLoginReq metamaskLoginReq) {
String publicAddress = metamaskLoginReq.getPublicAddress();
String signature = metamaskLoginReq.getSignature();
String message = metamaskLoginReq.getMessage();

// 地址合法性校验
if (!WalletUtils.isValidAddress(publicAddress)) {
    return ResultVo.fail("地址格式非法！");
}

// 校验签名信息
if (!CryptoUtils.validate(signature, message, publicAddress)) {
    return ResultVo.fail("签名校验失败！");
}

//认证通过之后 开始业务处理
return ResultVo.success();
}