一个使用签名信息用web3验证用户的简单方法
以太坊登录很快就会成为用户标准,不再需要密码,这已经不是什么新鲜事了。尽管如此,dApp开发仍然是一个相当新的赛道,其开发的许多标准仍在设定之中。现在,所有的开发者都在延续用传统做法编写dApp,本能地使用相同的JWT进行认证。我这里提出一个稍微不同的方法。我自己也开始使用JWT开发dApp。从第一个项目开始,我就觉得认证总是变得很棘手,而且在这个过程中一定有些多余的东西。在几个项目之后,我意识到JWT本身就是多余的。让我解释一下原因:
对冲基金Presidio Trading推出加密市场风险策略基金:金色财经报道,数字资产的量化对冲基金Presidio Trading推出单独的加密市场尾部风险(Tail Risk)策略基金,该公司表示,该决定是在该战略今年表现强劲之后做出的,6月份,该策略的回报率约为560%。
尾部风险(Tail Risk)是由于罕见事件的发生而导致投资损失的可能性,尾部风险投资策略旨在通过在意外的低迷时期表现出色来降低整体投资组合风险,但这样做的代价是在牛市中获得较低的回报。Presidio Trading表示,计划在2023年第一季度向合格投资者开放该基金,初始资金上限为 1000 万美元。[2022/12/9 21:32:46]
SBF:香港最可能成为亚洲Web3中心:10月31日消息,FTX首席执行官SBF在香港金融科技周网络研讨会上表示,香港可能会成为亚洲Web3、区块链和加密货币中心。SBF表示,从全球范围内来看,巴哈马和迪拜都很有可能成为加密中心,但是在亚洲,可以用于判断的趋势并不明显。SBF补充道,虽然新加坡、韩国釜山都有可能,但是我认为香港的可能性最大。[2022/10/31 12:01:21]
这张图显示了我在前几个项目中是如何进行认证的。这里的方案几乎完全复制了JWT的标准程序,唯一的一点是,用户发送的不是登录和密码,而是签名。为什么我们需要得到JWT呢?毕竟,即使没有它,你也可以通过从用户的签名中获取地址来可靠地识别身份。下面是如何简化的:
数据隐私平台Aleo将分三个阶段推出测试网3,已启动面向开发人员的第1阶段:8月3日消息,数据隐私平台Aleo宣布分三个阶段推出Aleo测试网3,Aleo测试网3分为3个阶段,第1阶段已启动,面向开发人员;第2阶段于9月推出,面向证明者;第3阶段于10月推出,面向证验证者。Aleo将在测试网3的3个阶段将2500万个Aleo积分(ALEO)分发给开发者、证明者和验证者社区。同时鼓励Aleo的开发者和爱好者参与即将推出的漏洞赏金计划。
Aleo测试网3的新功能包括:在Aleo虚拟机 (AVM) 上部署和执行程序、证明Coinbase谜题 (PoSW) 以产生新的学分、Marlin + Plookup证明系统上进行批量证明和验证、支持使用FROST阈值签名的多签名钱包等。
此前消息,今年2月份,Aleo Systems Inc曾完成2亿美元B轮融资,a16z等参投。[2022/8/3 2:54:55]
使用web3-token的认证流程用户依旧会产生一个签名,但里面有了一个过期日期,所以即便攻击者得到了这个签名,也持续不了多久。此外,签名被放在标准的授权头中,并在服务器上通过获取用户的地址和在数据库中找到用户来处理。这就是全部。你不需要在服务器上不断地更新JWT的加密密钥,所以通常来说,服务器承担了绝大部分职责。为了进一步简化这一流程,我制作了web3-token模块。要安装它,请使用以下命令。1$npmiweb3-token这个模块既可以用在服务器上,也可以用在客户端。让我们看一个例子,从客户端开始:
调用.sign方法后,你会看到与此类似的东西。
MetaMask提醒去签署令牌正如你所看到的,该信息对用户来说是完全透明的,因为他们必须看到他们正在签署的东西。因此,我决定不使用JSON结构来提高可读性,而是使用与HTTP头相同的结构。在消息的正文中,我们可以看到令牌的版本和过期日期。接下来,这里是后端对这个令牌的处理。
这很简单,只有一行,模块会处理所有加密问题。我们则可以从签名中获得用户的地址,并使用这个地址在数据库中找到他们。举个例子,然后你就可以通过他的地址授予这个用户一个NFT。最终我们得到了一个非常方便的无状态用户认证方法,这也是混合型dApp的理想选择。唯一的缺点是,它很难在Postman中测试。本文来自比推Bitpush.News,星球日报经授权转载。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。