时间:2022-03-03|浏览:7295
用戶喜愛的交易所
已有账号登陆后会弹出下载
使用以太坊登录(Sign-In with Ethereum)是互联网用户选择的游戏规则变化者。
用户现在可以在没有中间人的情况下使用相同的密钥来控制他们的区块链账户,而不是提交大登录。这种方法是有希望的,但不能保证重新平衡有利于用户的功率动态。通过使用以太坊登录,我们开辟了一条不再剥夺用户访问服务能力或监控其行为的道路。
使用以太坊登录是一种完全公开发展的身份验证开放标准dapp、公开讨论应用程序、钱包、安全公司等社区成员获取信息。你可以在 login.xyz 在上面找到所有的会议记录和笔记。这种方法与科技巨头或政府供应商发现的专有身份系统的封闭式发展相去甚远。这种封闭式发展受到隐私和数字权利倡导者的正当抗议。
相比之下,使用以太坊登录 (EIP-4361) 为以太坊账户定义了一种开放的知识共享 (CC) 任何基于 的签名格式都可以安全使用Web 身份验证服务。它由社区在以太坊基金会和 ENS 是在去年年底的直接支持下建立的Spruce 被任命为领导者。我很高兴与以太坊讨论登录的重要性,以及它对 的影响Web3 中的所有建筑商不仅仅是连接钱包。
连接钱包vs登录
“连接钱包(Connect Wallet)今天的按钮是 dapps 的主要接入方式。点击按钮开始进入 Web3 与区块链互动的旅程。
然而,连接钱包可以让你告诉应用程序你知道你在使用哪个账户,并确保到目前为止。你的钱包需要知道你想使用哪个账户与智能合同互动,发送加密货币,甚至通过 dapp 签署信息。连接钱包是非常基本的——dapp 不记得任何关于你的信息,并且正在为简单的互动建立一个前台。
当应用程序想要与用户进行更丰富的上下文交互时,比如加载他们的偏好或私人聊天信息,我们需要首先确保我们与账户背后的实际密钥持有人交谈,而不是假装控制账户的人。连接钱包不提供这个保证,但使用以太坊登录 (SIWE) 提供。换句话说,我们需要验证用户的身份,与他们建立对话,以便安全地读取和写入他们的数据。我想介绍一下这个例子Connected Carl 和 Session Sam:
Connected Carl 使用 dapps 玩得很开心。他可以在 Uniswap 交易, Aave 借钱,甚至 OpenSea 上购买 NFT,只需连接他的钱包。有一段时间,Carl 事情进展顺利,直到有一天,他遇到了一个问题:他希望 dapp 能记住一些关于他的事情,以便在他第三次、第四次和第五次使用它们时给他更好的体验.
Carl如果 Uniswap 自动导入他的清算偏好,Aave 记住他最喜欢的贷款市场,甚至 OpenSea 记住他的名字而不是 0x2Fe1a3... 账户,他的经历会更好。每次连接钱包,Carl必须从第一格重新开始。
Session Sam 没有这个问题。dapps 验证身份并建立会话后,保存此信息。Sam 断开连接,再次验证身份,Sam 将继续从他离开的地方,并在应用程序中记住他的所有内容。他的信息甚至可以保存在他控制的远程数据库中。
统一使用以太坊登录
在 Web在3 中,您会发现许多现有服务提供某种形式的使用以太坊登录,但不符合标准。他们通常使用它与可以管理相关账户的特权元数据的用户基于 cookie 会话。例如,如果您想让用户在您的网站上定制自己的配置文件(如 OpenSea),您应该在用户进行任何更改之前验证用户的身份,以确保只有用户才能编辑自己的配置文件。
连接钱包后的第一步是为用户提供人类可读信息,以便他们知道自己正在进入什么状态。用户会看到登录(LOGIN)一些关于登录的不一致措辞有时只是一个数字(在这里,签署这组随机的疯狂字母和数字)。相反,我们可以根据现有的实践、一些良好的安全措施和人类可读性和安全性之间的严格平衡来定义一组必要的字段。此外,钱包不需要改变其现有的界面和实践,至少可以继续为用户提供这些信息。
我们可以首先获取所有这些混乱的使用以太坊登录信息,并以公认的方式向用户展示请求:
通用新闻-通用接口
应用程序和钱包现在可以通过约定的签名信息格式使用相同的语言。当应用程序向用户提出签名请求时,钱包可以检查该请求是否适合 EIP-4361 消息,并让用户知道他们正在登录网站。
在这一点上,钱包可以呈现一个友好的风格界面,让用户感觉良好,消除对用户将采取行动的任何怀疑,而不是向用户呈现任何文本块来签名。由于钱包理解签名请求,用户只需点击确认对话框即可登录。为了完全透明,规范声明的整个信息和字段仍然必须在其他子界面(如详细视图)中使用。
从 EIP-在4361 新闻中,我们现在得到了一个更简单的界面:
该规范还为钱包引入了额外的安全要求,如防止网络钓鱼攻击的域绑定和防止重放攻击的随机数量,以进一步保护用户在整个体验过程中。例如,如果钱包找到了有效的 SIWE 消息,但用户是 example.com 签名,但实际上是 exampie.com 钱包可以警告用户以下情况:
超越身份验证
使用以太坊新闻登录也可以解释为授权访问特定资源或委托会话密钥来增加功能和围绕 dapp UX 的易用性。例如,想象一个用户可以使用他们保留的数据来丰富他们的对话,而不是应用程序来保存用户的数据?