我是一枚70后老程序猿蝗茁,從《富爸爸窮爸爸》《上帝會擲骰子嗎?》頓悟開始之后党晋,我的人生注定不再回去那“注定的人生”谭胚,我的人生應由我自己“心想事成”,連“擲骰子的上帝”也決定不了“我的世界”未玻。從《錢老師說錢》灾而、王利杰《人人都可以天使投資》、孫宇晨的《財富自由革命之路》扳剿,直到笑來老師的《通向財富自由之路》(以上幾位旁趟,估計除了錢老師還在錢里面,其它都在幣里面了……)庇绽。最后通過一塊聽聽锡搜,跟誰“大腦先生”張文峰學習教練技術……一路走來,諸多感慨瞧掺!
謝謝所有于這時空中余爆,我能接觸到的“老師們”,盡管孫宇晨還在風口浪尖之中夸盟,但學過教練之后,真的沒有誰不是我的老師像捶!而笑來老師本就是個教練……和我的文峰老師一樣上陕,用生命去喚醒生命桩砰,這比任何事都要偉大的多!
好了释簿,感慨就到這里了亚隅,讓我回到現(xiàn)實中……
我是一名普通國企員工,本就是查查數(shù)據(jù)庫庶溶,寫個小軟件煮纵,了不得了……也根本沒啥用,國企環(huán)境就是這樣偏螺,一群研究生還都在玩excel行疏。自己從c、vb套像、foxbase酿联、delphi、java夺巩、android贞让、raspberry、anduino柳譬、3dprint走過來喳张,也都是玩玩,不像在今天美澳,為了財富自由销部,我要努力“場外賺錢”。于是用了幾個月時間學習了javascript人柿、go柴墩,終于趕上了點時髦。沒想到凫岖,javascript的hello world竟然是在mixin里寫出來的江咳,賞金的力量真是巨大啊,哈哥放。
mixin的sdk其實很簡單歼指,主要注意以下幾點:
1、搞清楚user (或者是client)的uuid甥雕、session的uuid踩身,然后就是asset id,pin社露、pin_token挟阻、RSA KEY之間的關系。user(機器人的就是client)的uuid就是賬戶id,它應該是與電話號碼對應附鸽,但實際上脱拼,整個mixin的api都好像沒有涉及到電話號碼(需要再琢磨一下android app)。因此坷备,無法僅僅通過電話號碼給對方轉賬熄浓,而是通過user id(uuid)來轉賬,不需要知道對方錢包地址省撑。(但是必須有包括pin在內的授權簽名通過http head傳給mixin后臺)
client id應該就是對方的user id(圖中的recipient_id)赌蔑。只需要自己的資產id(圖中是cnb的asset id),金額數(shù)量就可以竟秫。那么其它的id和pin娃惯、rsa又是干嘛的呢?
pin就是錢包密碼(我理解的……未驗證)鸿摇,然后就需要將6位數(shù)字的pin加密之后(encryptPIN)石景,才能在網絡上傳輸,這個是用aeskey加密的(會在pin后面補全位數(shù))拙吉。如下圖:
那么aeskey又是怎么來的呢潮孽?這個key比較關鍵,涉及到資產安全筷黔。想想看往史,如果6位數(shù)字的pin被泄露會怎么樣?其實不會怎么樣佛舱,哈椎例!因為必須要知道aeskey,經過它的加密后请祖,mixin網絡才會承認這個pin订歪,才會承認這個錢包密碼。所以肆捕,連mixin網絡也不知道這個6位數(shù)字的pin是啥……所以刷晋,用戶或機器人一旦失去pin密碼,誰也幫不了他慎陵,只有重新生成眼虱。
好了,繼續(xù)講席纽,aeskey哪來的捏悬?它是通過將session id、RSA KEY和另外一個被加密后的pin_token一起解密出來的:
注意到上圖中的new secret下面的文本框润梯,939300是明文6位數(shù)字的pin密碼过牙,第二行從bbab……到b7fe8就是session id甥厦。第三行從UFK7P……到UxoU都是被加密過的pin_token,后面第四行開始沒顯示全的是RSA PRIVATE KEY寇钉。就后面這三樣(session id矫渔、pin_token、RSA KEY)摧莽,可以解密出aeskey:
所以,如果不需要涉及資產的api操作(讀取資產的操作也是需要pin的)顿痪,其它操作就不需要pin镊辕。
2、授權蚁袭。授權其實就是通過http head或者websock的參數(shù)傳給mixin后臺以驗證傳輸內容(http body或query)的合法性征懈。簡單講,就是通過上面的RSA KEY揩悄,對重要數(shù)據(jù)(method卖哎、uri、body)及其它載荷(payload:userId删性、sessionId亏娜、失效時間等)進行加密后的token,放在headers里面:
加密過程如下:
這樣蹬挺,mixin通過公鑰解密就知道你是什么來路了维贺,想要鉆api的漏洞,首先要搞定授權巴帮。上圖中self.privatekey就是RSA KEY溯泣。這個應該是mixin服務器給客戶端的私鑰。
總的來說榕茧,權限越大的api操作垃沦,需要用RSA KEY加密授權的內容越多,比前面的transferFromBot操作(機器人轉賬操作)用押,需要加密已經加密過的pin……
3肢簿、message 通信由websocket完成,會有各種類型只恨,比如下圖:
但遠不止這些译仗,應該會不斷增加,所以以后可以發(fā)更多類型的消息官觅。比如一個叫“APP_BUTTON_GROUP”的類型纵菌,消息傳過去,到對方那邊就是一個按鈕了休涤,這按鈕底下有可能是一個url鏈接(也可能就是一個木馬的url)咱圆,所以機器人給的按鈕不要隨便按笛辟,對機器人的信任度很重要!
圖中paylink是付款的url連接地址序苏,改成釣魚網站什么的手幢,就不好辦了。sendButton的代碼:
最后就是忱详,message的信息格式由messsge id围来、action、param組成(在go版 sdk里可以看到匈睁,還有data监透、error兩個參數(shù))。剛才說的信息類型是包含在param里的(似乎也可以在data里面航唆,還沒弄明白……)胀蛮。action有三種狀態(tài):LIST_PENDING_MESSAGES(我理解為準備狀態(tài))、CREATE_MESSAGE(發(fā)送信息內容狀態(tài))糯钙、ACKNOWLEDGE_MESSAGE_RECEIPT(表示已收到服務器信息后的回應)粪狼。最重要的就是CREATE_MESSAGE,就是用這個action發(fā)送各類信息任岸。
4再榄、還沒看完……還有好多api都沒有在霍神的開源sdk里用到,比如創(chuàng)建錢包地址什么的演闭。還需要繼續(xù)探索不跟!
mixin網絡比微信好太多了,如果不需要主頁米碰、用戶授權管理的話窝革,根本不需要固定公網ip、域名這些東西吕座,還不用說代碼審核什么的虐译,真TM的自由。寫軟件就是爽吴趴,極客的世界漆诽,除了代碼一切都是注解……用人話講就是無法無天,只有代碼锣枝。
哦厢拭,對了,忘了說我的“hello world”撇叁,其實就是在config.js里改上了自己的各種id和key供鸠,然后在examples/messageserver.js里改了兩行代碼,哈
然后陨闹,node messageserver就跑起來了楞捂,簡直不能太簡單了吧薄坏?
嘻嘻,霍神把sdk寫到嘴邊了寨闹,我們只要咬一口就可以了胶坠。