Blockscout项目中的统一认证签名机制优化

背景介绍

在区块链浏览器Blockscout的生态系统中，用户认证是一个核心功能。项目团队近期对认证流程进行了优化，旨在实现一个签名同时服务于两个认证服务：Merits系统和Blockscout账户系统。

技术实现方案

原有流程的问题

在优化前，用户需要分别生成两个不同的签名来访问Merits和账户系统，这不仅增加了用户操作复杂度，也影响了用户体验。

统一认证机制

新方案通过以下技术改进实现了统一认证：

1. 配置检测：首先检查Merits服务的配置端点，确认是否支持共享登录功能。当<merits_url>/api/v1/config返回的JSON中包含"shared_siwe_login": true时，表示系统支持统一认证。

2. 简化API调用：合并了原有的两个API调用流程，现在只需向Merits服务发送一个请求即可获取所有必要的认证信息。

3. 响应数据结构：API响应现在包含两个nonce值：

   • nonce：用于Blockscout账户认证
   • merits_login_nonce：专用于Merits系统认证

签名消息格式

统一后的签名消息包含了两个系统的认证信息，格式示例如下：

eth.blockscout.com wants you to sign in with your Ethereum account: <address>

Sign in/up to Blockscout Account V2 & Blockscout Merits program.[ Referral code: BSCOUT][ Merits nonce: trCGuP0OqkrahmW2Y]

URI: https://eth.blockscout.com
Version: 1
Chain ID: 1
Nonce: cCUiCPh6DFG
Issued At: 2025-01-20T11:14:37.513Z
Expiration Time: 2026-01-20T11:14:37.513Z

技术优势

1. 用户体验提升：用户只需进行一次签名操作，即可访问两个系统。

2. 安全性保持：虽然认证流程简化，但安全性并未降低，每个系统仍使用独立的nonce值。

3. 向后兼容：通过配置开关控制功能启用，确保与旧版本兼容。

4. 可扩展性：该架构设计便于未来集成更多需要认证的服务。

实现状态

根据项目进展，这一优化方案已经完成开发并部署到生产环境。开发团队通过合理的API设计和消息格式定义，成功实现了认证流程的简化，同时保持了系统的安全性和可靠性。

这一改进体现了Blockscout项目对用户体验的持续关注和技术架构的不断优化，为区块链浏览器生态系统的进一步发展奠定了坚实基础。