问题描述
在eosjs文档(https://developers.eos.io/manuals/eosjs/latest/faq/what-is-a-signature-provider)中,据说JsSignatureProvider不安全。为什么到底是不安全的? 我有点新,想在我的后端宠物项目中使用它。 我觉得如果我要编写自己的签名提供程序,我会重新发明eosjs JsSignatureProvider。
解决方法
JsSignatureProvider 不安全的主要原因是构造函数直接使用私钥来执行签名(可能会暴露于潜在的攻击媒介,即恶意扩展等)。
更安全的方法可能是将签名请求路由到一个安全的 enclave,而不暴露私钥,在那里执行签名,然后取回签名。