Push notifikácie

[celuchmarek]

Chceme pridať podpisovanie cez push notifikácie. Treba na to 3 veci:

Device (inštalácia aplikácie) sa zaregistruje na serveri

Aplikácia sa iba raz za svoj život zaregistruje na serveri - buď pri prvom spustení alebo pri prvom párovaní (čiže v ten istý moment ako sme vymysleli, že user povolí push notifikácie).

1. Device si vygeneruje ES256 kľúč a ten si bude pamätať po celý život.
2. Device zistí svoje registrationId - id pre notifikácie na danej platforme.
3. Device zavolá na server POST /devices s body napr:

{
  "platform": "android" / "ios",
  "registrationId": "idk32b83ef7-21fe-4120-b8fa-d9f6aba05731",
  "displayName": "John's phone (alebo si vymslí hocičo, zatiaľ to nie je podstatné)",
  "publicKey": "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1iPVm0v/ZNM04587g10F54JVIrMZqWnlOXuGjOvcYsuweTYxuXafP8aJ6kIXe+jQhjeldm2mQZzSZ4ceLRq0yA==\n-----END PUBLIC KEY-----"
}

4. Server vráti v odpovedi guid, ktoré si Device zapamätá do konca života.
5. Device je úspešne zaregistrovaný.

Device sa spáruje s integráciou

Pri podpisovaní cez extension user naskenuje QR kód / otvorí link. V ňom sa nachádza integration a pushKey.

1. Device dostal okrem guid a key k dokumentu aj integration a pushKey. Tie 2 si odloží.
2. Device pripraví header: Authorization: Bearer <api-token>, pričom api-token je JWT token popdísaný ES256 kľúčom, ktorý si vygeneroval pred registráciou, s obsahom:

{
  "sub": <device-guid z registrácie>,
  "exp": <timestamp now + 5 min>,
  "jti": <random UUID 4>
}

3. Device pošle na server POST /device-integrations s body: { integrationPairingToken : <integration> }.
4. Server vráti 204 OK.
5. Device je spárovaný s integráciou.

Device počúva na notifikácie

Ak spárovaná integrácia inicijuje podpisovanie, zároveň so zobrazením QR kódu sa pošlú PUSH notifikácie na spárované zariadenia. Device teda počúva na notifikácie (cez Google / APNS).

1. Device dostane notifikáciu s payloadom:

{
  "encryptedMessage": "..."
}

V encryptedMessage bude raz zašifrovaný string. Nateraz je tam v stringu rovno uložený takýto JSON:

{
  "documentGuid": "bfde97b4-ee27-47bc-97e2-5164ed96a92a",
  "key": "EeESAfZQh9OTf5qZhHZtgaDJpYtxZD6TIOQJzRgRFgQ="
}

2. Device podľa týchto parametrov podpisuje dokument rovnako ako keby otvoril link.

[celuchmarek]

@Matej-Hlatky Neskôr budeme chcieť, aby ten payload prišiel ako:

{
  "encryptedMessage": "ZhHZtgaDJpYtxZD6TIOQJzRgRFgQ..."
}

A až keď toto dešifruješ pomocou pushKey, dostaneš ten pôvodný payload. (Na serveri to teraz zapnem bez šifrovania, ale nezdá sa mi to potom v appke byť veľmi zložité rozšifrovať)

Tie JWT tokeny sú potom úpne bežná vec, takže na to určite nájdeš enejakú libku a do funkcie pošleš typ kľúč: ES256, sub: tvoje guid, jti: random uuid, exp: now + 5 min a kľúč na podpísanie: tvoj ES256 kľúč.

[Matej-Hlatky]

FYI, API upravy a generovanie keypair su rozpracovane v https://github.com/slovensko-digital/avm-client-dart/tree/feature/AVM-26_device_pairing_update
Najskor je nutne dokoncit upravy tam.