AMAX登录签名

签名字符串

---

//  签名字符串一般为固定说明+随机字符串。
// 为什么要+随机字符串？防止所有签名是相同的。
const signatureString = "用户登录"  + new Date()
or

// GMFZSJZCQYYS是随机出的字符串
const signatureString =  "Welcome to NFT One! Click \"Sign\" to sign in. No password needed! I accept the NFT One Terms of Service GMFZSJZCQYYS"

获取签名公钥

---

这个比较麻烦，因为无法通过一个用户名直接获取私钥对应的publicKey。比如：用户frank12345oo，私钥5Kfs388vr6TM8oMsCd4xfkqsR9132nw9TWfpma7NNfRzvM*******的公钥是AM6aZPsm846vGvf96gRpEoKUYadvaC53i6RQHchuQxn9Dy8FqWPH。但通过getAccount查出的数据是

{
   // ...
    "permissions": [
        {
            "perm_name": "active",
            "parent": "owner",
            "required_auth": {
                "threshold": 1,
                "keys": [
                    {
                        "key": "AM5cizvBZobd1rNhw5N89wuqevzZbLxk2x6QZQVWvFdg3uTFpEJV",
                        "weight": 1
                    },
                    {
                        "key": "AM6aZPsm846vGvf96gRpEoKUYadvaC53i6RQHchuQxn9Dy8FqWPH",
                        "weight": 1
                    }
                ],
                "accounts": [],
                "waits": []
            }
        },
        {
            "perm_name": "owner",
            "parent": "",
            "required_auth": {
                "threshold": 1,
                "keys": [
                    {
                        "key": "AM6aZPsm846vGvf96gRpEoKUYadvaC53i6RQHchuQxn9Dy8FqWPH",
                        "weight": 1
                    }
                ],
                "accounts": [],
                "waits": []
            }
        }
    ]
}

查到的active权限对应的公钥有两个，如果这时用AM5cizvBZobd1rNhw5N89wuqevzZbLxk2x6QZQVWvFdg3uTFpEJV去签名，那肯定是不对的，因为它不是私钥对应的公钥，它只是有操作这个帐户active权限的另一个帐户的公钥。

那么如何用正确的公钥去签名？答案是遍历所有公钥去签名，对的那个就是正确的，如果都不对，那么登录失败。

实现如下：

/**
 * 获取帐户下的pubkey
 * @param {*} account
 * @param {*} authority owner | active 只获取此权限下的pubkey
 * @returns
 */
export const getAccountPubkey = async (account, authority) => {
  if (!account) return;
  const client = await getClient();
  let pubkeyArray;
  try {
    const accountInfo = await client.getAccount(account);


    if (accountInfo) {
      pubkeyArray = accountInfo.permissions
        .filter(item => (authority ? item.perm_name === authority : true))
        .reduce((pre, next) => {
          next.required_auth.keys.forEach(
            k => !pre.includes(k.key) && pre.push(k.key),
          );
          return pre;
        }, []);
    }
  } catch (e) {
    message.error(intl.get("AccountNoAct"));
    throw new Error(e);
  }


  return pubkeyArray;
};

// 获取一个身份信息
export async function getAccount() {
  const scatter = getScatter();
  const { accounts } = await scatter.getIdentity({
    accounts: [{ chainId: network.chainId, blockchain: network.blockchain }],
  });
  return accounts[0];
}

/**
 * 签名
 * @param signatureString
 * @returns
 */
export async function sign(signatureString) {
  const { name: account, authority } = await getAccount();


  let publicKeys;
  try {
    // 取出身份对应权限的所有公钥
    publicKeys = await getAccountPubkey(account, authority);
  } catch (e) {
    message.error(intl.get("AccountNoAct"));
    throw new Error(intl.get("AccountNoAct"));
  }
  let signature, publicKey;
  // 公钥遍历，让每个都去签名和验证签名
  // 如签名和验证签名都没问题，那就结束遍历，已经找到正确的公钥并且登录成功
  // 这里如果用 Promise.any 来写这里逻辑的话，在app中没问题，但插件存在问题，可能不能同时发起多个签名
  for (publicKey of publicKeys) {
    try {
      const signString = await window.scatter.getArbitrarySignature(
        publicKey,
        signatureString,
      );
      if (signString) {
        try {
          // 验证通过能正常返回true，失败返回false,  或者报错走catch
          if (ecc.verify(signString, signatureString, publicKey)) {
            // 验证通过，登录成功，结束遍历
            signature = signString;
            break;
          }
        } catch (e) {}
      }
    } catch (e) {}
  }


  // 如果遍历了所有公钥，且没有能正常签名的，登录失败。中断操作
  if (!signature) {
    message.error(intl.get("loginFailed"));
    throw new Error(intl.get("loginFailed"));
  }
  // 正常返回，数据给后面使用
  return { publicKey, account, authority };
}

/**
 * 登录
 */
export async function login(dispatch) {
    // ...
      const { account, authority } = await sign(signatureString);
    // ...
}

注意： APP与插件签名逻辑是： 先验证publicKey与私钥对应的公钥是否相等，如果不一样，直接报402错，弹窗都不会出现。 如果一样，则出现弹窗，继续往下操作… 但是，APP1.2.4 以及之前，是没有publicKey判断的，签名都会有弹框，也会正常的返回。 1.2.4之后，就会加上publicKey判断。所以dapp如果存在逻辑问题可能会报错。

window.scatter.getArbitrarySignature(
        publicKey,
        signatureString,
      );

 // 这里verify需要重新认识下，以前理解不全面。也会返回false，代表验证失败。
  try{
    if(ecc.verify(signature, signatureString, publicKey)){
        Toast.fail('登录成功');
    }else{
        Toast.fail('登录失败');
    }
  } catch (e) {
    Toast.fail('登录失败');
    throw e;
  }

欢迎提出更好的建议或者方法。理解逻辑才能走得更远，代码才会写得更为优雅。