最近大家的热情可能被PAL的空投燃爆了，毕竟天上掉馅饼还是不是陷阱的事不是时常都有的。

(图源 ：pexels.com)

不过对于我这种从来不在其它第三方网站填入私钥的用户，要在申领空投时输入密码或者Active Key，是对我心理的一大挑战。

好吧，其实我是相信steemconnect以及steem-engine网站作者都是好的，网站都是安全的，可是万一他们站点被黑了呢？万一我的浏览器被劫持了呢？（强迫症伤不起）

难道就放弃即将到手的肥肉嘛？这也和我性格不符，一定要想个办法，既能拿到空投，又能让私钥/密码不存在泄露的风险。

还别说，真有这样的方法，答案是给账户附加临时的Active Key，用后再删除掉。

操作步骤

至于如何实现，也很简单啦，把大象装冰箱大致分为四步：

• 创建公私钥对
  这个可以使用steem-python的PasswordKey来实现

pwk = PasswordKey("youraccount", "yourpasswd", role='active')
print("Posting private key:", pwk.get_private())
print("Posting public key:", pwk.get_public())

• 将上述代码生成密钥对绑定到账户active权限组

steempy allow --account oflyhigh --permission active STM7Dk7PLNDfq2ixxxxx

• 用上述密钥对中的私钥(Active key)去欢快地领空投
• 删除密钥对和账户的关联

steempy disallow --account oflyhigh --permission active STM7Dk7PLNDfq2ixxxxx

Posting key登录steem-engine的问题

上述方式生成临时active key领空投没问题，但是我生成posting key用来登录steem-engine好像行不通，不知道是我操作有误还是他们代码处理不妥，不过无所谓了，Posting key毕竟没那么重要。

换密码

好吧，其实换领空投后换个密码似乎也是不错的办法，可是因为我的私钥有一些其它关联，换密码就影响我私钥的关联了，所以只能用上述笨方法了。

补充说明

操作之前先要安装steem-python库，以及将当前的active私钥导入到钱包。你可能会问，这个不是还是要私钥嘛？不也存在泄露密钥的风险嘛？答案是我装的版本代码我review过，不存在风险。（当前版本我没看过，风险自负）

再有就是只要是合法的公私钥对就可以，其实上述代码中的账户啊、密码啊、以及角色啥的都没用的，除非你想直接用密码。

重要提示

使用文中脚本和代码风险自负，除非你理解你做的每项操作，否则请不要轻易尝试。

尤其是不要直接使用上述代码生成的密钥对，必须改成适合自己的内容，否则有可能导致账户被盗。

不当的操作可能导致你的账户无法使用。

---

有一个不知道是谁的马甲 @sct.dean 曾在我帖子底下回复：

新创建了一个active key专门用于授权。 這是啥意思?? 怎麼搞??

当时忙，况且也不认识，就没搭理他，这里一并回复了。

---

Vote For Me As Witness
https://steemit.com/~witnesses type in oflyhigh and click VOTE

Vote @oflyhigh via Steemconnect
Thank you!