如何从流行的钱包扩展中安全地检索客户端公钥

Question

我正在创建一个桌面应用程序，该应用程序需要用户将其加密钱包连接到“登录”。

这是我当前的工作流程：

1. 创建从桌面应用程序到服务器的套接字连接。
2. 在我网站上的页面上打开一个浏览器选项卡，将套接字ID作为URL参数，
3. 页面将促使用户
4. 在连接成功后连接其钱包，Frontend将API调用到后端，钱包地址和插座ID。
5. 后端用私钥签署了钱包地址，并使用套接字将地址和签名发送到客户端的桌面应用程序。

问题在于，任何人都可以创建与我的服务器的套接字连接，然后使用他们想要的任何钱包地址和连接的套接字ID在第4步中提出请求。成功地模仿别人的钱包。

使用浏览器钱包扩展程序将桌面应用程序安全地连接到桌面应用程序的任何解决方案？

我正在考虑的解决方案（如果可能的话）是：

使用公开的字符串并将其与用户私有密钥进行加密，并将其发送是步骤4中的请求的一部分。然后，后端可能只是解密带有钱包的公共地址的数据，并确保其等于原始字符串。这样可以验证，发送给服务器的公共钱包地址实际上是用户拥有的。

但是，我认为不可能使用钱包的私钥将钱包扩展名加密数据加密。如果有一种与著名的钱包扩展名相兼容的方法，那将是完美的修复。