Web3-Token验证方法如何真正起作用，并且真的安全吗？

Question

我已经阅读了Web3 Auth的工作原理，此图片显示了：

似乎Web3-token.verify方法完全同步，它是一堆base64解码并验证。但是，假设我完全重新实现前端库，以模仿以太坊API，以与我自己的公共/私人密钥对和地址生成签名。我可以冒充任何地址吗？

Answer 1

如 eip-4361 标准（目前在2022年5月未完成）。

其实际签名部分使用不对称的加密术 - 使用签名者的私钥签名消息，并使用其公共密钥验证签名。

假冒地址的唯一方法是绕过验证并将签名人视为0x123，即使它们实际上是0x456。但是，如果您不知道他们的私钥，就不可能绕过密码学背后的数学并为他们签署信息。

这是一个很棒的文章 更深入地描述签名机制。