我是一枚70后老程序猿,从《富爸爸穷爸爸》《上帝会掷骰子吗?》顿悟开始之后,我的人生注定不再回去那“注定的人生”,我的人生应由我自己“心想事成”,连“掷骰子的上帝”也决定不了“我的世界”。从《钱老师说钱》、王利杰《人人都可以天使投资》、孙宇晨的《财富自由革命之路》,直到笑来老师的《通向财富自由之路》(以上几位,估计除了钱老师还在钱里面,其它都在币里面了……)。最后通过一块听听,跟谁“大脑先生”张文峰学习教练技术……一路走来,诸多感慨!
谢谢所有于这时空中,我能接触到的“老师们”,尽管孙宇晨还在风口浪尖之中,但学过教练之后,真的没有谁不是我的老师!而笑来老师本就是个教练……和我的文峰老师一样,用生命去唤醒生命,这比任何事都要伟大的多!
好了,感慨就到这里了,让我回到现实中……
我是一名普通国企员工,本就是查查数据库,写个小软件,了不得了……也根本没啥用,国企环境就是这样,一群研究生还都在玩excel。自己从c、vb、foxbase、delphi、java、android、raspberry、anduino、3dprint走过来,也都是玩玩,不像在今天,为了财富自由,我要努力“场外赚钱”。于是用了几个月时间学习了javascript、go,终于赶上了点时髦。没想到,javascript的hello world竟然是在mixin里写出来的,赏金的力量真是巨大啊,哈。
mixin的sdk其实很简单,主要注意以下几点:
1、搞清楚user (或者是client)的uuid、session的uuid,然后就是asset id,pin、pin_token、RSA KEY之间的关系。user(机器人的就是client)的uuid就是账户id,它应该是与电话号码对应,但实际上,整个mixin的api都好像没有涉及到电话号码(需要再琢磨一下android app)。因此,无法仅仅通过电话号码给对方转账,而是通过user id(uuid)来转账,不需要知道对方钱包地址。(但是必须有包括pin在内的授权签名通过http head传给mixin后台)
client id应该就是对方的user id(图中的recipient_id)。只需要自己的资产id(图中是cnb的asset id),金额数量就可以。那么其它的id和pin、rsa又是干嘛的呢?
pin就是钱包密码(我理解的……未验证),然后就需要将6位数字的pin加密之后(encryptPIN),才能在网络上传输,这个是用aeskey加密的(会在pin后面补全位数)。如下图:
那么aeskey又是怎么来的呢?这个key比较关键,涉及到资产安全。想想看,如果6位数字的pin被泄露会怎么样?其实不会怎么样,哈!因为必须要知道aeskey,经过它的加密后,mixin网络才会承认这个pin,才会承认这个钱包密码。所以,连mixin网络也不知道这个6位数字的pin是啥……所以,用户或机器人一旦失去pin密码,谁也帮不了他,只有重新生成。
好了,继续讲,aeskey哪来的?它是通过将session id、RSA KEY和另外一个被加密后的pin_token一起解密出来的:
注意到上图中的new secret下面的文本框,939300是明文6位数字的pin密码,第二行从bbab……到b7fe8就是session id。第三行从UFK7P……到UxoU都是被加密过的pin_token,后面第四行开始没显示全的是RSA PRIVATE KEY。就后面这三样(session id、pin_token、RSA KEY),可以解密出aeskey:
所以,如果不需要涉及资产的api操作(读取资产的操作也是需要pin的),其它操作就不需要pin。
2、授权。授权其实就是通过http head或者websock的参数传给mixin后台以验证传输内容(http body或query)的合法性。简单讲,就是通过上面的RSA KEY,对重要数据(method、uri、body)及其它载荷(payload:userId、sessionId、失效时间等)进行加密后的token,放在headers里面:
加密过程如下:
这样,mixin通过公钥解密就知道你是什么来路了,想要钻api的漏洞,首先要搞定授权。上图中self.privatekey就是RSA KEY。这个应该是mixin服务器给客户端的私钥。
总的来说,权限越大的api操作,需要用RSA KEY加密授权的内容越多,比前面的transferFromBot操作(机器人转账操作),需要加密已经加密过的pin……
3、message 通信由websocket完成,会有各种类型,比如下图:
但远不止这些,应该会不断增加,所以以后可以发更多类型的消息。比如一个叫“APP_BUTTON_GROUP”的类型,消息传过去,到对方那边就是一个按钮了,这按钮底下有可能是一个url链接(也可能就是一个木马的url),所以机器人给的按钮不要随便按,对机器人的信任度很重要!
图中paylink是付款的url连接地址,改成钓鱼网站什么的,就不好办了。sendButton的代码:
最后就是,message的信息格式由messsge id、action、param组成(在go版 sdk里可以看到,还有data、error两个参数)。刚才说的信息类型是包含在param里的(似乎也可以在data里面,还没弄明白……)。action有三种状态:LIST_PENDING_MESSAGES(我理解为准备状态)、CREATE_MESSAGE(发送信息内容状态)、ACKNOWLEDGE_MESSAGE_RECEIPT(表示已收到服务器信息后的回应)。最重要的就是CREATE_MESSAGE,就是用这个action发送各类信息。
4、还没看完……还有好多api都没有在霍神的开源sdk里用到,比如创建钱包地址什么的。还需要继续探索!
mixin网络比微信好太多了,如果不需要主页、用户授权管理的话,根本不需要固定公网ip、域名这些东西,还不用说代码审核什么的,真TM的自由。写软件就是爽,极客的世界,除了代码一切都是注解……用人话讲就是无法无天,只有代码。
哦,对了,忘了说我的“hello world”,其实就是在config.js里改上了自己的各种id和key,然后在examples/messageserver.js里改了两行代码,哈
然后,node messageserver就跑起来了,简直不能太简单了吧?
嘻嘻,霍神把sdk写到嘴边了,我们只要咬一口就可以了。
