一文詳解為什么 Web 3.0 時代不再需要 JWT ？_CEL

原作者：MiroslawShpak

標題：Youdon’tneedJWTanymore

編譯：ChenZhou

編者注：JWT是JSONwebToken的簡稱，本質是一個token，是一種緊湊的URL安全方法，用于在網絡通信的雙方之間傳遞。以下為原文。

一個使用簽名信息用web3驗證用戶的簡單方法

以太坊登錄很快就會成為用戶標準，不再需要密碼，這已經不是什么新鮮事了。盡管如此，dApp開發仍然是一個相當新的賽道，其開發的許多標準仍在設定之中。

“去中心化Twitter”項目Bluesky下載量突破百萬次:7月7日消息，Data.ai數據顯示，“去中心化Twitter”項目Bluesky在iOS和Android平臺的下載量已突破百萬次。具體地區而言，美國的Bluesky安裝量最多，占40%。其次是巴西（占安裝量的9.5%）、日本（8.5%）、泰國（7.5%）和英國（4.6%）。[2023/7/7 22:24:38]

現在，所有的開發者都在延續用傳統做法編寫dApp，本能地使用相同的JWT進行認證。我這里提出一個稍微不同的方法。

Celsius債權人律師：潛在競標者對Celsius資產的出價未被拒絕:金色財經報道，代表Celsius無擔保債權人委員會的律師今日在Twitter Space表示，該公司仍在與潛在競標者就Celsius的加密資產進行談判，他們被拒絕的說法是“絕對錯誤的”。

此前加密KOL Tiffany Fong表示，幣安、Galaxy Digital和Bank to the Future是Celsius資產的秘密競標者，Fon當時稱這些出價“在很大程度上被拒絕了”，他提到了一名Celsius律師的聲明，稱這些出價“沒有說服力”。

這名律師沒有證實泄密文件中提到的報價是否準確，但表示“令人遺憾”，因為這降低了委員會在談判過程中的靈活性。他表示，他們目前正在調查泄密是如何發生的，并補充說，“非常擔心參與這一過程的潛在投資者可能會為了自己的利益而試圖操縱競拍過程。”[2023/2/1 11:40:42]

我自己也開始使用JWT開發dApp。從第一個項目開始，我就覺得認證總是變得很棘手，而且在這個過程中一定有些多余的東西。在幾個項目之后，我意識到JWT本身就是多余的。讓我解釋一下原因：

a16z聯合創始人：加密貨幣對世界的改變太徹底，太底層了:金色財經報道，麥肯錫官網刊登了對a16z聯合創始人Marc Andreessen的專訪，在訪談中，Marc Andreessen分享了自己對新技術發展前景的預測，以及a16z的重點投資領域。Andreessen表示，現在，我們認為已經搜索到了三個非常有發展可能的新山，正好可以縮寫成ABC。A是AI，B是Biotech（生物科技），C是Crypto（加密貨幣）和Web3。巴菲特剛剛在奧馬哈的年度會議上抨擊了整個行業。我認為這些批評不是作秀，是發自肺腑的（visceral），但他們沒有認真思考。針對這些批評，我認為有兩種可能的解釋。

第一，他們可能是對的。也許See's Candies（巴菲特投資的糖果公司）就是未來，而不是區塊鏈。

第二，加密貨幣對世界的改變太徹底，太底層了。每當人們想到，“這是一種新的貨幣形式”，或者“這是一個關于貨幣的新理論”，甚至“這是一個跟貨幣相關的新科技”時，人們會變得緊張，變得情緒化。作為關注非共識項目，一向逆向思考的投資人，這些批評讓我們很高興。如果所有其他人都不看好，但同時我們是對的，我們投資的創始人和公司將有巨大機會。[2022/7/3 1:47:37]

這張圖顯示了我在前幾個項目中是如何進行認證的。這里的方案幾乎完全復制了JWT的標準程序，唯一的一點是，用戶發送的不是登錄和密碼，而是簽名。

為什么我們需要得到JWT呢？畢竟，即使沒有它，你也可以通過從用戶的簽名中獲取地址來可靠地識別身份。

下面是如何簡化的：

使用web3-token的認證流程

用戶依舊會產生一個簽名，但里面有了一個過期日期，所以即便攻擊者得到了這個簽名，也持續不了多久。此外，簽名被放在標準的授權頭中，并在服務器上通過獲取用戶的地址和在數據庫中找到用戶來處理。這就是全部。你不需要在服務器上不斷地更新JWT的加密密鑰，所以通常來說，服務器承擔了絕大部分職責。

為了進一步簡化這一流程，我制作了web3-token模塊。要安裝它，請使用以下命令。

1$npmiweb3-token

這個模塊既可以用在服務器上，也可以用在客戶端。

讓我們看一個例子，從客戶端開始：

調用.sign方法后，你會看到與此類似的東西。

MetaMask提醒去簽署令牌

正如你所看到的，該信息對用戶來說是完全透明的，因為他們必須看到他們正在簽署的東西。因此，我決定不使用JSON結構來提高可讀性，而是使用與HTTP頭相同的結構。

在消息的正文中，我們可以看到令牌的版本和過期日期。

接下來，這里是后端對這個令牌的處理。

這很簡單，只有一行，模塊會處理所有加密問題。我們則可以從簽名中獲得用戶的地址，并使用這個地址在數據庫中找到他們。舉個例子，然后你就可以通過他的地址授予這個用戶一個NFT。

最終我們得到了一個非常方便的無狀態用戶認證方法，這也是混合型dApp的理想選擇。唯一的缺點是，它很難在Postman中測試。

本文來自比推Bitpush.News，星球日報經授權轉載。

Tags：ELSSIUWEBCELCryptoVoxelsElysiumWEBOOcelo幣創始人

FTX