我再研究一下。之前都是拿私钥输入就行😂,傻瓜式的😅
我都是用电脑的浏览器访问的,用 getAlby 插件管理 nostr 私钥,并进行登录。
截图里提到的 nsec.app 和琥珀,应该是移动端的管理 nostr 私钥的工具吧,我也没啥使用经验。😂https://nsec.app/ 网站上有 nsec.app 使用文档,也许有帮助。😂
Discussion
直接把私钥入到各个 web/app,方便是挺方便,就是有点安全问题,不小心泄露了也难以排查,理论上最好是单点管理😂。 aqstr.com 不让直接用私钥登录,应该就是出于这个考虑吧我猜😂。但这样移动端确实不怎么方便了。 nsec.app 似乎就是为解决这个问题而存在的。
就一个私钥不用管理,有点大炮打蚊子😂。一管理等于私钥交出来了😇
直接用私钥登录 N 个应用,最大风险的是,只要其中一个应用泄露了你的私钥,就出大事了。😂 用过的应用越多,出事的概率就越大😂。
管理私钥,是把私钥存到某一个应用里面,其他 N 个应用都无法知道私钥是什么。对于敏感操作(比如发帖、打赏之类),应用需要向管理私钥的应用请求授权(比如对 nostr event 签名)。整个流程中,私钥只有这个唯一的专门管理的应用控制,攻击面小了很多,安全性是有提高的😂。
换个角度的话,对于普通的应用来说,它们的重点是自己的业务,安全性往往不是最核心的。而专门管理私钥的应用,安全性就是它的核心卖点。