应用程序开发 - 应用程序设计元素 - 钱包

钱包包含一组用户身份。用户运行的应用程序在连接到通道时会选择这些身份之一。结合 MSP 使用此身份确定对诸如帐本之类的通道资源的访问权限。

在本主题中，我们将介绍：

• 为什么钱包很重要
• 钱包的组织方式
• 不同类型的钱包
• 钱包操作

1. 场景

当应用程序连接到诸如 PaperNet 之类的网络通道时，它会选择一个用户身份来进行连接，例如 ID1。通道 MSP 将 ID1 与特定组织内的角色相关联，该角色最终将确定应用程序对通道资源的权利。例如，ID1 可能会将用户标识为可以读写账本的 MagnetoCorp 组织成员，而 ID2 可能会标识 MagnetoCorp 中可以向联盟添加新组织的管理员。

image

Isabella 和 Balaji 这两个用户拥有包含不同身份的钱包，可用于连接到不同的网络通道 PaperNet 和 BondNet。

考虑两个用户的例子；MagnetoCorp 的 Isabella 和 DigiBank 的 Balaji。Isabella 将使用 App 1 在 PaperNet 中调用一个智能合约，在 BondNet 中调用另一个智能合约。同样，Balaji 将使用 App 2 调用智能合约，但仅限于 PaperNet。(应用程序很容易访问其中的多个网络和多个智能合约。)

注意：

• MagnetoCorp 使用 CA1 颁发身份，而 DigiBank 使用 CA2 颁发身份。这些身份存储在用户钱包中。
• Balaji 的钱包拥有一个唯一的身份，即 CA2 发行的 ID4。Isabella 的钱包有许多由 CA1 发行的身份，ID1，ID2 和 ID3。钱包可以为一个用户保留多个身份，并且每个身份可以由不同的 CA 颁发。
• Isabella 和 Balaji 都连接到 PaperNet，并且其 MSP 确定 Isabella 是 MagnetoCorp 组织的成员，而 Balaji 是 DigiBank 组织的成员，因为各自的 CA 均发布了它们的身份。(一个组织可以使用多个 CA，一个 CA 可以支持多个组织。)
• Isabella 可以使用 ID1 连接到 PaperNet 和 BondNet。在这两种情况下，当 Isabella 使用此身份时，她都被视为 MangetoCorp 的成员。
• Isabella 可以使用 ID2 连接到 BondNet，在这种情况下，她被确定为 MagnetoCorp 的管理员。这为 Isabella 提供了两种截然不同的特权：ID1 将她标识为 MagnetoCorp 的简单成员，可以读写 BondNet 帐本，而 ID2 则将她标识为 MagnetoCorp 管理员，可以将新组织添加到 BondNet。
• Balaji 无法使用 ID4 连接到 BondNet。如果他尝试连接，则 ID4 将不会被识别为 DigiBank 的成员，因为 BondNet 的 MSP 不知道CA2。

2. 类型

根据其存储身份的钱包有不同类型：

image

钱包的四种不同类型：文件系统，内存，硬件安全模块 (Hardware Security Module, HSM) 和 CouchDB。

• FileSystem：这是最常见的存放钱包的地方；文件系统无处不在，易于理解，并且可以通过网络安装。对于钱包来说，它们是一个很好的默认选择。

  使用 FileSystemWallet 类 管理文件系统钱包。

• In-memory：应用程序存储中的钱包。当你的应用程序在受限环境中运行而无法访问文件系统时，请使用这种钱包。通常是网络浏览器。值得记住的是，这种钱包是易变的。应用程序正常结束或崩溃后，身份将丢失。

  使用 InMemoryWallet 类 来管理内存中的钱包。

• Hardware Security Module：存储在 HSM 中的钱包。这种超安全，防篡改的设备可存储数字身份信息，尤其是私钥。HSM 可以本地连接到你的计算机或可通过网络访问。大多数 HSM 提供了使用私钥执行机载加密的功能，这样私钥就永远不会离开 HSM。

  当前，你应该结合使用 FileSystemWallet 类 和 HSMWalletMixin 类来管理 HSM 钱包。

• CouchDB：存储在 Couch DB 中的钱包。这是钱包存储的最稀有形式，但是对于那些希望使用数据库备份和还原机制的用户，CouchDB 钱包可以提供简化灾难恢复的有用选项。

  使用 CouchDBWallet 类 管理 CouchDB 钱包。

3. 结构

单个钱包可以保存多个身份，每个身份由特定的证书颁发机构颁发。每个身份具有一个标准结构，包括描述性标签，一个包含公钥，私钥和某些特定于 Fabric 的元数据的 X.509 证书。不同的钱包类型将此结构适当地映射到其存储机制。

[图片上传失败...(image-4374ca-1576754700042)]

Fabric 钱包可以使用由不同证书颁发机构颁发的证书来保存多个身份。身份包括证书，私钥和结构元数据。

有两种关键的类方法可以简化钱包和身份的管理：

const identity = X509WalletMixin.createIdentity('Org1MSP', certificate, key);

await wallet.import(identityLabel, identity);

请参阅 X509WalletMixin.createIdentity() 方法 如何创建具有元数据 Org1MSP，证书和私钥的身份。查看 wallet.import() 如何使用特定的 identityLabel 将此身份添加到钱包。

网关类仅需要为身份设置 mspid 元数据 – 在上面的示例中为 Org1MSP。当前，它使用此值从 连接配置文件 中识别特定的对端节点，例如，当请求特定的通知 策略 时。在 DigiBank 网关文件 networkConnection.yaml 中，查看 Org1MSP 通知将如何与 peer0.org1.example.com 关联：

organizations:
  Org1:
    mspid: Org1MSP

    peers:
      - peer0.org1.example.com

你确实不需要担心不同钱包类型的内部结构，但是如果你有兴趣，请导航到商业票据示例中的用户身份文件夹：

magnetocorp/identity/user/isabella/
                                  wallet/
                                        User1@org1.example.com/
                                                              User1@org.example.com
                                                              c75bd6911aca8089...-priv
                                                              c75bd6911aca8089...-pub

你可以检查这些文件，但是如上所述，使用 SDK 可以更轻松地操作这些数据。

4. 运作方式

不同的钱包类派生自一个通用的 Wallet 基类，该基类提供一组标准的 API 来管理身份。这意味着可以使应用程序独立于底层钱包存储机制。例如，文件系统和 HSM 钱包的处理方式非常相似。

image

钱包遵循生命周期：可以创建或打开钱包，并且可以读取，添加，删除和导出身份。

应用程序可以根据简单的生命周期使用钱包。可以打开或创建钱包，然后可以添加，读取，更新，删除和导出身份。花一些时间在 JSDOC 中的不同 Wallet 方法上，看看它们如何工作。商业票据教程在 addToWallet.js 中提供了一个很好的示例：

const wallet = new FileSystemWallet('../identity/user/isabella/wallet');

const cert = fs.readFileSync(path.join(credPath, '.../User1@org1.example.com-cert.pem')).toString();
const key = fs.readFileSync(path.join(credPath, '.../_sk')).toString();

const identityLabel = 'User1@org1.example.com';
const identity = X509WalletMixin.createIdentity('Org1MSP', cert, key);

await wallet.import(identityLabel, identity);

注意：

• 首次运行该程序时，将在本地文件系统上的 .../isabella/wallet 中创建一个钱包。
• 从文件系统加载证书 cert 和私钥。
• 使用 X509WalletMixin.createIdentity() 使用 cert，key 和 Org1MSP 创建一个新的身份。
• 新身份将通过带有标签 User1@org1.example.com 的 wallet.import() 导入到钱包中。

这就是你需要了解的所有钱包信息。你已经了解了它们如何保留应用程序代表用户使用的身份来访问 Fabric 网络资源。根据你的应用程序和安全需求，可以使用不同类型的钱包，并且有一组简单的 API 可以帮助应用程序管理钱包及其中的身份。

Reference

• Docs » Developing Applications » Application design elements » Wallet, https://hyperledger-fabric.readthedocs.io/en/release-1.4/developapps/wallet.html
• Docs » Developing Applications » Application design elements » Connection Profile, https://hyperledger-fabric.readthedocs.io/en/release-1.4/developapps/connectionprofile.html
• https://hyperledger-fabric.readthedocs.io/en/release-1.4/developapps/connectoptions.html
• https://fabric-sdk-node.github.io/master/index.html

项目源代码

项目源代码会逐步上传到 Github，地址为 https://github.com/windstamp。

Contributor

1. Windstamp, https://github.com/windstamp