那些遇到过的问题

Near协议是否有回调签名验证以保证安全

Cal*_*tes 5 nearprotocol

近钱包登录回调仅提供?account_id=<cyberfeng.testnet>&all_keys=<public-keys>,接收方无法验证请求是否真正来自近钱包。检查引荐来源网址头是不可靠的,因为黑客可以使用curl或其他http客户端发送虚假请求

签名或可以验证的东西是理想的

这存在吗?

Cal*_*tes 1

部分答案:

从那时起,我了解到用户验证的首选方法是:

  1. 发送 wallet.near.org 请求,让用户向其帐户添加功能访问密钥。
  2. 然后,您将可以在您的网站本地存储中使用功能访问密钥
  3. 然后,您可以使用该功能访问密钥以指定功能的用户身份签署请求。您还可以验证密钥是否已添加到他们的近名帐户中,以确认对其身份的访问。

不幸的是这个方法需要:

  1. 用户支付少量交易费用
  2. 用户向其帐户添加访问密钥
  3. 请求者指定函数访问密钥的目标合约

悬而未决的问题:

有没有一种简单的方法可以使用 wallet.near.org 上保存的本地存储访问密钥签署交易并返回该结果,以便我可以查询用户密钥并验证现有密钥是否签署了交易。

为什么:

  1. 无需 Gas - 我的新用户资金有限或为 0
  2. 我不想训练用户向他们的帐户添加不必要的访问密钥
  3. 我不需要功能访问。我只需要安全地验证他们的身份

归档时间:

查看次数:

218 次

最近记录:

3 年,11 月 前
相关归档
并非所有字节都读取常见解决方案 10
调用 Rust init 函数时出现“无法反序列化合约状态” 7
如何使用 NEAR 的帐户系统加密消息 6
NEAR 是否需要 Serialize 和 BorshSerialize? 6
如何查询历史余额 6
在测试期间更改 VMContext 属性 5
合同前任 vs 签署者 vs 当前合同 5
使用 Python 的 NEAR API 4
如何使用 Nearlib.js 获得某个账户的余额 3
无法打开创世配置文件 3
难疑归档
什么是"大O"符号的简单英语解释? 4851
如何在Python中获取当前时间 2618
.prop()vs .attr() 2249
将文本垂直对齐到UILabel中的顶部 2141
常规演员与static_cast与dynamic_cast 1661
如何离开/退出/停用python virtualenv? 1461
match_parent和fill_parent有什么区别? 1371
如何使用jQuery更改超链接的href 1231
关闭特定行的eslint规则 1214
功能编程是否取代了GoF设计模式? 1028