关于token明文私钥在哪的信息

1、注意secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去一旦客户端得知这个secret， 那就意味着客户端是可以自我签发jwt了如何应用 一般是在请求头里加入Authorization，并加上Bearer标注服。

2、token 是JsonWebToken字符串 secretOrPublicKey 是一个字符串或缓冲区，其中包含HMAC算法的机密，或包含RSA和ECDSA的PEM编码的公钥如果 jwtverify 称为异步，则 secretOrPublicKey 可以是应该获取秘密或公共密钥的函数请参阅下面的详细示例 如 本注释所述 ，还有其他库期望使用base64编码的机密使用。

3、助记词是明文私钥的另一种表现形式，最早是由 BIP39 提案提出，其目的是为了帮助用户记忆复杂的私钥 64 位的哈希值助记词一般由12151821个单词构成，这些单词都取自一个固定词库，其生成顺序也是按照一定算法而来，所以用户没必要担心随便输入 12 个单词就会生成一个地址虽然助记词和 Key。

4、服务器利用保留的私钥对密文进行解密，得到真正的密码 经过判断， 确定用户可以登录后，生成sessionId和token， 同时利用客户端发送的公钥，对token进行加密最后将sessionId和加密后的token返还给客户端客户端利用自己生成的私钥对token密文解密， 得到真正的token。

5、钱包的目的就是来保存私钥的，像开篇提到的，并非存放加密货币的可以说，只要有私钥，就代表你拥有了对应的token但是目前数字货币市场上存在着数字管理不便交易和兑换门槛高区块链性能不足以及设计不合理区块链开发成本高连接现实难缺乏场景应用等问题说得简单点，就是基于不同公链开发的。

6、用公钥对私钥进行加密，然后再提交到服务器端，服务器端再对私钥进行调用私钥加密算法使用单个私钥来加密和解密数据由于具有密钥的任意一方都可以使用该密钥解密数据，因此必须保护密钥不被未经授权的代理得到私钥加密又称为对称加密，因为同一密钥既用于加密又用于解密私钥加密算法非常快与公钥算法。

7、接口的安全性主要围绕TokenTimestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用，下面具体来看1Token授权机制Token是客户端访问服务端的凭证用户使用用户名密码登录后服务器给客户端返回一个Token通常是UUID，并将TokenUserId以键值对的形式存放在缓存服务器中服务端。

8、安猫钱包支持BTC，BCH，LTC，ETH，ETC，DASH以及ERC20系列，是目前来说，币种最全，真正意义上的全币种数字货币钱包，是唯一一款支持中文助记词的数字货币钱包，由12个汉字组成，方便记忆，符合中国人的阅读习惯最大的特点，则是很好地应用了轻钱包的可扩展性，在对多种数字资产管理的同时，内嵌DAPP。

9、如何助记词不慎遗失，首先确定助记词是否有有被他人获知的可能，请第一时间创建一个新的token钱包，将原钱包资产转移若是处于基石阶段的钱包账户无法转移，请及时联系项目方，请对方辅助转移代币资产若是确定属于自己删除或者损毁而又不被他人获知，可以选择备注私钥，用私钥进行钱包登录摘要IOST助记词。

10、是合法的Imtoken创建于2016年3月份，截止至2018年10月，imtoken在全球200多个国家和地区已经拥有超过700万用户了，它不会将用户的私钥偷偷上传到服务器上，是一家通证资产钱包研发商，tokenim钱包也就是合法的imtoken是区块链数字货币钱包imtoken为广大区块链领域的用户提供安全便捷的数字资产服务。

11、如果该token合约允许的话，改变token总体数量有两种方案token的总数可以通过铸造新token来增加举个例子，铸造出想要的token到具体的合约地址 销毁token的另一种方式是将token发送到一个未创建私钥的地址，通常来说就是0地址这会使得这些token不可用，在这方面，它与销毁token有同样的效果，但并没有。

12、首先得知道这种token称为JWTjson web token，可以参考 官网 介绍，而且这是一种 RFC 标准JWT是服务端发给客户端的一种加密凭证通过RSA或者密码加密，客户端访问服务端此不一定是发布凭证的服务端时携带上这个凭证，服务端解密此凭证，验证通过就可以允许客户端访问在k8s中，使用RSA私钥公钥。

13、在数字资产世界里，钱包是一个密钥 包含私钥和公钥 的管理容器用户使用私钥进行签名交易，从而证明拥有该交易的输出权，其交易信息并不是存储在该钱包内，而是存储在区块链中AcToken是基于石墨烯底层技术DPOS共识机制，可以达到数百万TPS，及毫秒级的确认速度AcToken是一款一键式与ABTCXIN数字交易。

14、用户每次请求都带上当前时间的时间戳timestamp，服务器收到请求后对比时间差，超过一定时长如5分钟，则认为请求失效时间戳超时机制是防御DOS攻击的有效手段将token，timestamp等其他参数以字典序排序，再加上一个客户端私密的唯一id这种一般做在服务端，前端无法安全保存这个id或使用私钥签名。

15、ID Token需要有足够的安全性，JWT是如何做到的呢 刚看到了签名部分，签名的作用只是为了防止数据篡改，而JWT默认是不加密，但也是可以加密的生成原始 Token 以后，可以用密钥再加密一次比如认证服务器中使用私钥进行加密，把公钥分发给其他应用服务器，应用服务拿到加密后的token后用公钥解密，获取。