Je propose de retirer les méthodes d’authentification par “Clé publique ou pseudonyme” ainsi que “Addresse SS58” (ss58 étant un terme technique à éviter de communiquer au grand publique d’ailleurs).
En effet je n’ai jamais compris l’intérêt de ces methodes “d’authentification” qui n’en sont pas vraiment dans Cesium v1.
Je trouve ceci confusant, on parle bien d’un flow de “connexion”, hors avec une pubkey, on ne se connecte pas (bon ça déborde aussi sur le débat de l’emploi du terme “connexion” que je ne préconise pas, on parle plutôt “d’import”, mais c’est un tout autre sujet, je peux comprendre la volonté de rester coller le plus possible à la therminologie de la v1 pour le moment).
Est-ce que quelqu’un ici présent est capable de m’expliquer l’intérêt de ces flow ? Pensez-vous que c’est réellement utilisé dans cs1 ?
Sans objection significative d’ici quelques jours, je me permettrait de les retirer.
C’est important si certaines fonctionnalités ne nécessitant pas la clé secrète ne sont accessibles qu’en étant identifié.
Si l’interface anonyme offre bien toutes les informations publiques d’une manière au moins aussi ergonomique que l’interface identifiée, alors ce mode n’est pas nécessaire.
Mais de toute façon l’état “identifié sans clé secrète” existera toujours, j’espère ? Puisqu’il faut bien qu’il puisse se souvenir du compte quand on rouvre Césium, et qu’il demande la clé secrète uniquement au dernier moment, par exemple quand on signe une transaction.
Cet état est utile et évite de taper un secret si on ne fait que consulter ses transactions.
Donc je suppose que tu proposes uniquement de supprimer le moyen d’arriver à cet état sans jamais taper de secret ?
C’est une très bonne remarque.
Il est vraie notamment qu’en l’état, l’annuaire n’est disponible qu’en étant connecté. Qui est un comportement que je ne sais pas justifier.
Je propose donc de changer ça pour permettre l’accès à l’annuaire sans être connecté.
Seule l’action d’effectuer une transaction ou une certification (un extrinsic quel qu’il soit) nécessite alors de s’authentifier.
Une fois la clé privé importé, elle est chiffré par un code secret et stocké dans le local storage (n’ayant pas de secure storage sur le web).
A partir de là, elle y reste tant qu’on ne se déconnecte pas manuellement ou qu’on reset le cache.
L’état “Non authentifié” ne correspond alors qu’a l’état où la clé privé n’est plus présente en claire en mémoire. Il faut alors simplement renseigner son code secret.
L’état “identifié sans clé secrète” n’existe donc pas, il existe l’état “identifié sans clé secrète en claire” pour être précis.
Par contre le mot “connexion” pour parler d’authentification m’a toujours gêné, y compris sur les sites web classiques où on se connecte bien pour obtenir le formulaire d’authentification.
Je réserverais ce mot pour la connexion à un nœud (comme l’OS l’utilise pour la connexion à un réseau physique et à Internet). Sinon on peut être “connecté” en étant hors-ligne…
On peut parler d’identification, déverrouillage, authentification.
