Web3-Token 验证方法如何真正起作用并且真的安全吗?
How does Web3-Token verify method really work and is it really secure?
我已经阅读了 Web3 Auth 的工作原理,这张图片显示了它:
看来web3-token.verify方法是完全同步的,是一堆base64解码验证。但假设我完全重新实现前端库以模仿以太坊 API 以使用我自己的 public/private 密钥对和地址生成签名。我可以冒充任何地址吗?
如 web3-token package.json, this package implements the EIP-4361 标准中所述(目前尚未在 2022 年 5 月完成)。
它的实际签名部分使用非对称加密 - 使用签名者的私钥对消息签名,并使用他们的 public 密钥验证签名。
模拟地址的唯一方法是绕过验证并在应用程序级别将签名者视为 0x123,即使它们实际上是 0x456。但是,如果您不知道他们的私钥,就不可能绕过密码学背后的数学原理并为他们签名消息。
这里有一个很棒的 article 更深入地描述了签名机制。
我已经阅读了 Web3 Auth 的工作原理,这张图片显示了它:
看来web3-token.verify方法是完全同步的,是一堆base64解码验证。但假设我完全重新实现前端库以模仿以太坊 API 以使用我自己的 public/private 密钥对和地址生成签名。我可以冒充任何地址吗?
如 web3-token package.json, this package implements the EIP-4361 标准中所述(目前尚未在 2022 年 5 月完成)。
它的实际签名部分使用非对称加密 - 使用签名者的私钥对消息签名,并使用他们的 public 密钥验证签名。
模拟地址的唯一方法是绕过验证并在应用程序级别将签名者视为 0x123,即使它们实际上是 0x456。但是,如果您不知道他们的私钥,就不可能绕过密码学背后的数学原理并为他们签名消息。
这里有一个很棒的 article 更深入地描述了签名机制。