如何将钱包连接到 dApp？ （Web3 基础知识）

了解钱包集成机制

1. 去中心化应用程序依靠加密身份来验证用户身份并签署交易。该身份位于钱包中，该钱包保存私钥并管理数字签名。

2. MetaMask、Phantom 或 Trust Wallet 等钱包公开了一个称为以太坊提供商 API (EIP-1193) 的标准化接口，允许 dApp 检测它们并与之通信。

3. 当 dApp 初始化时，它会检查是否存在window.ethereum或由浏览器扩展或移动钱包注入的类似提供程序对象。

4. 缺少此类对象会触发后备逻辑——提示安装或为移动用户建议钱包连接模式。

5. 一旦检测到，dApp 就会使用ethereum.request({ method: 'eth_requestAccounts' })请求访问用户帐户的权限，启动安全的、用户批准的握手。

处理连接状态和事件

1. 钱包连接不是静态的——它可能会因账户切换、网络切换或断开连接而发生变化。 dApp 必须侦听'accountsChanged' 、 'chainChanged'和'disconnect'等事件。

2. 当用户选择不同的帐户或删除访问权限时，将触发“accountsChanged”事件。如果权限被撤销，它会传递一个新地址数组或一个空数组。

3. “chainChanged”事件表示网络之间的切换（例如，以太坊主网到 Sepolia）。应用程序必须相应地重新加载或重新初始化合约实例。

4. 断开连接可能会悄无声息地发生——尤其是在钱包锁定或扩展禁用之后——因此通过ethereum.isConnected()定期进行健康检查有助于保持 UI 一致性。

5. 持久状态管理需要将选定的链 ID 和账户地址存储在内存或本地存储中，但决不能存储私钥或助记词。

在不泄露秘密的情况下签署交易

1. 所有交易签名都发生在钱包环境内，而不是在 dApp 的 JavaScript 上下文中。 dApp 构造原始交易参数并将其传递给ethereum.request({ method: 'eth_sendTransaction', params: [...] }) 。

2. 钱包呈现一个确认 UI，显示接收者、价值、gas 估算和数据有效负载。用户可以批准或拒绝，而无需将其私钥暴露给任何外部代码。

3. 对于链下消息（例如登录挑战或治理投票），dApp 使用individual_sign或eth_signTypedData_v4来请求可加密验证的签名。

4. 类型化数据签名强制实施结构化域分离，并通过特定于域的盐和版本控制防止跨链或应用程序重放。

5. 链上或后端服务中的签名验证依赖于ecrecover或等效的加密原语从签名和消息哈希中导出签名者的地址。

适用于移动和非扩展场景的 WalletConnect 协议

1. WalletConnect v2 使用中继服务器和配对 URI 在 dApp 和钱包之间建立端到端加密会话。它完全避免了浏览器注入。

2. dApp 生成包含所需链、方法和元数据的会话提案，然后显示包含配对 URI 的 QR 代码。

3. 用户使用兼容的钱包应用程序（例如 Rainbow 或 Coinbase Wallet）扫描二维码，该应用程序会在批准会话之前验证提案。

4. 连接后，所有 JSON-RPC 请求都会流经中继网络，并在配对期间协商加密密钥并在每个会话中轮换。

5. 会话保持由客户端管理；当任何一方调用session.disconnect()时，就会发生撤销，使所有关联的密钥无效并清除存储的元数据。

常见问题解答

Q1：连接期间 dApp 可以读取我的私钥吗？ A1。不会。钱包永远不会向 dApp 公开私钥。签名始终发生在钱包的安全边界内。

Q2：为什么每次切换网络时我的钱包都会要求批准？ A2。每个 EVM 兼容链都有自己的命名空间和账户派生路径。权限的范围仅限于每个链，需要明确的重新批准。

Q3：如果我在连接后清除浏览器缓存会怎样？ A3。除非 dApp 通过 WalletConnect 实现会话恢复或单独存储钱包地址和链 ID 等非敏感标识符，否则连接状态将丢失。

Q4：连接到未经 Etherscan 验证的 dApp 是否安全？ A4。不可以。未经验证的 dApp 可能会注入恶意脚本或欺骗钱包提示。始终验证合约地址，检查域名合法性，并避免在任何地方输入助记词。