全文小结：

• 1、以太2.0钱包怎么用
• 2、OAuth 2.0 授权认证详解
• 3、token.im钱包合法吗
• 4、数字钱包那个好用？
• 5、基于token的身份验证-2.0版本
• 6、《imToken》iOS苹果版下载安装教程

以太2.0钱包怎么用

新手如何快速学会使用以太仿钱包

工具/原料

手机1部 笔/笔记本

1，注册下载imToKen钱包App。打开浏览器输入官方网址进入下载，或者在手机自带的软件应用商城搜索“imtoken”注册下载。

注意：imToken钱包App分苹果版和安卓版。苹果版需要用国际ID登录手机后才可以下载。

有安卓手机的建议大家尽可能用安卓手机下载，会省去很多麻烦，操作起来也方便。

打开网址不要直接下载，先点击右上角三个横杠侍袜，然后点击下载，再选择软件版本和手机版本，下面是安卓手机演示。

2，打开下载好的APP，同意协议进入imToken，可以看见有两个选项，一个是“创建”另一个是“导入”，点击创建钱包。

3，这时会出现一个风险知识测评，可以直接点击右上角“跳过”。

4，到了填写信息注册页面。

钱包名称：类似微信和qq昵称，建议简单一点。

密码：密码建议大小写字母、数字、特殊符号相结合。密码提示信息可以不填。

密码填写完后，勾选我已经阅读，点击创建钱包。

5，点击备份钱包，进行备份。

备份钱包就是备份助记词，也就是手抄写12个英文单词。按英文单词的顺序手抄下来保存好。

关于密码：如果密码丢失了可以在钱包首页点击导入钱包，导入助记词更改密码，找回原来的钱包。

6，按顺序手抄好助记词后，根据系统提示点击确认。

7，钱包账号：点击名称下面的方格，可以看到完整森滚的钱包地址（收款账号），直接复制就可以了。如果别人要给你转账，把这个地址给对方就行。

8，如何转账：

收款：把钱包地址给对方，对方转账后，资产自动到钱包对应的数字资产里。钱包里所有的数字资产都是共用同一个钱包地址的，一个钱包只有一个钱包地址，是唯一的。

转账：以太仿钱包可以存储以太系列的所有数字货币资产。你要给对方转哪个数字资产就点开哪个。以太仿币（ETH）为例，直接点开，点击左下角转账，弹出转账页面。

收款人钱包地址：输入对方的钱包地址

转账金额：转多少就填写多少

备注：可填可不填，随意

矿工费：正常情况老春激大家不要随意拉动那个移动点，选择默认的矿工费就可以了。矿工费就相当于银行卡转账的手续费。矿工费是按每一笔交易收取的，不管转多少矿工费都一样，转一次账矿工费就几毛钱，大家一定不要为了几毛钱去降低矿工费，矿工费太低会转账不成功，转账不成功后金额会退回账户，但是产生的矿工费是不退的。

转账信息填完，点击下一步就可以了，转账正常情况1分钟左右就到了。

OAuth 2.0 授权认证详解

一、认识 OAuth 2.0

1.1 OAuth 2.0 应用场景

OAuth 2.0 标准目前被广泛应用在第三方登录场景中，以下是虚拟出来的角慧旁色，阐述 OAuth2 能帮我们干什么，引用阮一峰这篇理解OAuth 2.0中的例子：

有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取自己储存在Google上的照片。

问题是只有得到用户的授权，Google才会同意"云冲印"读取这些照片。那么，"云冲印"怎样获得用户的授权呢？

传统方法是，用户将自己的Google用户名和密码，告诉"云冲印"，后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

1.2 名词概念

OAuth 就是为了解决上面这些问题而诞生的。在详解 OAuth 之前，需要明确一些基本的概念，从上面场景中抽象出以下概念。

第三方应用程序

Third-party application ：第三方应用程序，本文中又称"客户端"（client），即上一节例子中的"云冲印"。

HTTP服务提供商

HTTP service ：HTTP服务提供商，本文中简称"服务提供商"，即上一节例子中的Google。

资源所有者

Resource Owner ：资源所有者，本文中又称"用户"（user）。

用户代理

User Agent ：用户代理，本文中就是指浏览器。

认证服务器

Authorization server ：认证服务器，即服务提供商专门用来处理认证的服务器。

资源服务器

Resource server ：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

知镇前道了上面这些名词，就不难理解，OAuth的作用就是让"客户端"安全可控地获取"用户"的授权，从而可以和"服务商提供商"进行互动。

二、OAuth 的授权认证流程

2.1 认证思路

OAuth 在"客户端"与"服务提供商"之间，设置了一个 授权层 （authorization layer）。"客户端"不能直接登录"服务提供商"，只能登录授权层，以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。

"客户端"登录授权层以后，"服务提供商"根据令牌的权限范围和有效期，向"客户端"开放用户储存的资料。

2.2 认证流程

官方 RFC 6749 文件中的 OAuth 2.0 流程图有点晦涩，优化了 一下：

上述中的第 2 步 是关键，即用户怎样才能给于客户端授权。有了这个授权以后，客户端就可以获取令牌，进而凭令牌获取资源。

三、四种授权模式

上一小节可以得出用户对客户端的授权动作是核心，客户端必须得到用户的授权（authorization grant），才能获得令牌（access token）。OAuth 2.0定义了四种授权方式：

3.1 授权码模式（authorization code）

授权码（authorization code）方式，指的是第三方应用先申请一个授前旅橡权码，然后再用该码获取令牌。

3.2 简化模式（implicit）

有些 Web 应用是纯前端应用，没有后端。这时就不能用上面的方式了，必须将令牌储存在前端。RFC 6749 就规定了第二种方式，允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤，所以称为（授权码）"隐藏式"（implicit）。

3.3 密码模式（resource owner password credentials）

如果你高度信任某个应用，RFC 6749 也允许用户把用户名和密码，直接告诉该应用。该应用就使用你的密码，申请令牌，这种方式称为"密码式"（password）。

3.4 客户端模式（client credentials）

最后一种方式是凭证式（client credentials），适用于没有前端的命令行应用，即在命令行下请求令牌。

四、授权码模式详解

4.1 授权码模式流程

授权码模式（authorization code）是功能最完整、流程最严密安全的授权模式。它的特点就是通过客户端的 后台服务器 ，与"服务提供商"的认证服务器进行互动。

注意这种方式适用于那些有后端的 Web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

授权码模式流程如下：

从上述的流程描述可知，只有第 2 步需要用户进行授权操作，之后的流程都是在客户端的后台和认证服务器后台之前进行"静默"操作，对于用户来说是无感知的。

下面是上面这些步骤所需要的参数。

4.2 授权码模式流程的五个步骤

第 1 步骤

参数说明

第 1 步骤中，客户端申请认证的URI，包含以下参数：

示例

A 网站提供一个链接，用户点击后就会跳转到 B 网站，授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接：

上面 URL 中：

response_type参数表示要求返回授权码（code）；

client_id参数让 B 网站知道是谁在请求；

redirect_uri参数是 B 网站接受或拒绝请求后的跳转网址；

scope参数表示要求的授权范围（这里是只读）。

第 2 步骤

第 2 步骤中，用户跳转后，B 网站会要求用户登录，然后询问是否同意给予 A 网站授权。

第 3 步骤

参数说明

第 3 步骤中，服务器回应客户端的URI，包含以下参数：

示例

在第 2 步骤用户表示同意之后，这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时，会传回一个授权码，就像下面这样。

上面 URL 中，code参数就是授权码。

第 4 步骤

参数说明

第 4 步骤中，客户端向认证服务器申请令牌的HTTP请求，包含以下参数：

示例

在第 3 步骤中，A 网站拿到授权码以后，就可以在后端，向 B 网站请求令牌。

上面 URL 中：

client_id参数和client_secret参数用来让 B 确认 A 的身份（client_secret参数是保密的，因此只能在后端发请求）；

grant_type参数的值是AUTHORIZATION_CODE，表示采用的授权方式是授权码；

code参数是上一步拿到的授权码；

redirect_uri参数是令牌颁发后的回调网址。

第 5 步骤

参数说明

第 5 步骤中，认证服务器发送的HTTP回复，包含以下参数：

示例

第 4 步骤中，B 网站收到请求以后，就会颁发令牌。具体做法是向redirect_uri指定的网址，发送一段 JSON 数据：

上面 JSON 数据中，access_token字段就是令牌，A 网站在后端拿到了。注意：HTTP头信息中明确指定不得缓存。

五、令牌（Token）传递方式

当客户端（第三方应用程序）拿到访问资源服务器的令牌时，便可以使用这个令牌进行资源访问了。

在第三方应用程序拿到access_token后，如何发送给资源服务器这个问题并没有在 RFC6729 文件中定义，而是作为一个单独的 RFC6750 文件中独立定义了。这里做以下简单的介绍，主要有三种方式如下：

5.1 请求头参数传递

Authorization Request Header Field，因为在HTTP应用层协议中，专门有定义一个授权使用的Request Header，所以也可以使用这种方式：

其中"Bearer "是固定的在access_token前面的头部信息。

5.2 表单编码传递

使用 Request Body 这种方式，有一个额外的要求，就是 Request Header 的Content-Type必须是固定的application/x-www-form-urlencoded，此外还有一个限制就是 不可以使用 GET 访问，这个好理解，毕竟 GET 请求是不能携带 Request Body 的。

5.3 URI 请求参数传递

URI Query Parameter，这种使用途径应该是最常见的一种方式，非常简单，比如：

在我们请求受保护的资源的 Url 后面追加一个 access_token 的参数即可。另外还有一点要求，就是 Client 需要设置以下 Request Header 的 Cache-Control:no-store ，用来阻止 access_token 不会被 Web 中间件给 log 下来，属于安全防护方面的一个考虑。

5.4 令牌的刷新

为了防止客户端使用一个令牌无限次数使用，令牌一般会有过期时间限制，当快要到期时，需要重新获取令牌，如果再重新走授权码的授权流程，对用户体验非常不好，于是 OAuth 2.0 允许用户自动更新令牌。

具体方法是，B 网站颁发令牌的时候，一次性颁发两个令牌，一个用于获取数据，另一个用于获取新的令牌（refresh token 字段）。令牌到期前，用户使用 refresh token 发一个请求，去更新令牌。

上面 URL 中：

grant_type参数为refresh_token表示要求更新令牌，此处的值固定为refresh_token，必选项；

client_id参数和client_secret参数用于确认身份；

refresh_token参数就是用于更新令牌的令牌。

B 网站验证通过以后，就会颁发新的令牌。

注意： 第三方应用服务器拿到刷新令牌必须存于服务器，通过后台进行重新获取新的令牌，以保障刷新令牌的保密性。

六、OAuth2的安全问题

6.1 CSRF攻击

应用程序在早期使用 OAuth2 的时候爆发过不少相关的安全方面的漏洞，其实仔细分析后会发现大都都是没有严格遵循 OAuth2 的安全相关的指导造成的，相关的漏洞事件自行搜索。

其实 OAuth2 在设计之初是已经做了很多安全方面的考虑，并且在 RFC6749 中加入了一些安全方面的规范指导。比如：

安全无小事，这方面是要靠各方面（开放平台，第三方开发者）共同防范的。

6.2 攻击流程

假设有用户张三，攻击者李四，第三方"云冲印"应用（它集成了第三方社交账号登录，并且允许用户将社交账号和"云冲印"中的账号进行绑定），以及 OAuth2 服务提供者 Google。

步骤1

攻击者李四登录"云冲印"网站，并且选择绑定自己的 Google 账号

步骤2

"云冲印"网站将李四重定向到 Google，由于他之前已经登录过 Google，所以 Google 直接向他显示是否授权"云冲印"访问的页面。

步骤3

李四在点击"同意授权"之后，截获 Google 服务器返回的含有Authorization code参数的HTTP响应。

步骤4

李四精心构造一个 Web 页面，它会触发"云冲印"网站向 Google 发起令牌申请的请求，而这个请求中的Authorization Code参数正是上一步截获到的 code。

步骤5

李四将这个 Web 页面放到互联网上，等待或者诱骗受害者张三来访问。

步骤6

张三之前登录了"云冲印"网站，只是没有把自己的账号和其他社交账号绑定起来。在张三访问了李四准备的这个 Web 页面，令牌申请流程在张三的浏览器里被顺利触发，"云冲印"网站从 Google 那里获取到access_token，但是这个 token 以及通过它进一步获取到的用户信息却都是攻击者李四的。

步骤7

"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来，从此以后，李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 "云冲印" 网站中的账号，堂而皇之的冒充张三的身份执行各种操作。

从整体上来看，本次 CSRF 攻击的时序图应该是下面这个样子的：

从上图中可以看出，造成 CSRF 攻击漏洞问题的关键点在于，OAuth2 的认证流程是分为好几步来完成的，在上一章节授权码模式流程中的流程图中的第 4步骤中，第三方应用在收到一个 GET 请求时，除了能知道当前用户的 cookie，以及 URL 中的Authorization Code之外，难以分辨出这个请求到底是用户本人的意愿，还是攻击者利用用户的身份伪造出来的请求。

于是，攻击者就能使用移花接木的手段，提前准备一个含有自己的Authorization Code的请求，并让受害者的浏览器来接着完成后续的令牌申请流程。

6.3 解决方案

要防止这样的攻击其实很容易，作为第三方应用的开发者，只需在 OAuth 认证过程中加入state参数，并验证它的参数值即可。具体细节如下：

state参数在 OAuth2 认证过程中不是必选参数，因此在早期第三方应用开发者在集成 OAuth2 认证的时候很容易会忽略它的存在，导致应用易受 CSRF 攻击。所以必须对这个安全问题重视起来。

安全是双方的，需要第三方应用和资源服务提供商均要严格遵守安全规范。如 QQ 互联的 OAuth2 API 中，state 参数是强制必选的参数，授权接口是基于 HTTPS 的加密通道等；作为第三方开发者在使用消费这些服务的时候也应该重视注意安全中存在的漏洞。

token.im钱包合法吗

是合法的。

Imtoken创建于2016年3月份，截止至2018年10月，imtoken在全球200多个国家和地区已经拥有超过700万用户了，它不会将念逗用户的私钥偷偷上传到服务器上，是一家通证资产钱包研发商，token.im钱包也就是合法的。

imtoken是区尺高氏块链陵散数字货币钱包。imtoken为广大区块链领域的用户提供安全、便捷的数字资产服务。

数字钱包那个好用？

imToken

imToken是一款支持ETH以及 ERC-20 代币、比特币HD 钱包以及隔离见证、EOS 以及 EOS 主网其他代币的数字货液扒币钱包，且一套助记词可创建多个币种的钱包账户，从而告别了繁复的备份管理，是一款多链钱包。

imToken支持数字货币的收发、以太系列的币币交易，借助区块链智能合约，无需信任第三方，直接在移动端完成币币兑换。代币管理功能操作简单，自动发现代币，无需手动添加；支持一键搜索，可以闹迟昌轻松查看、管理多种代币。

imToken私钥自持，安全进一步保障。

不足：imToken只支持基于ETH主链的数字货币，像BTC、CTC这种自有公链的代币不能存放。转账时只支持ETH作为手续费，存在一定局限性。

比特派

比特派钱包是由比太团队研发的新一代区块链资产综合服务平台，立足于HD钱包技术、多重签名和链上交易，可轻松安全使用数字货币，在比特派上轻松发送和接收比特币。目前支持币种主要有BTC、BTC分叉币、ETH、部分ERC2.0代币、QTUM、HSR、DASH及分叉币SAFE、LTC及分叉币LCH、ZEC、ETC、DOGE。

比特派支持多地址发币，内置OTC及交易所(第三方旦亩服务)，可以与世界各地用户进行交易，比较适合交易频繁和有场外交易需求的币圈专业用户使用。

安全性方面，用户掌控私钥，交易完成后，币直接归用户自己保管。如果长时间不操作，比特派会自动上锁，进一步提高了钱包的安全性。

不足：对于初始用户，功能太多太复杂反而是一种累赘。他们只需简单收发数字货币，太多复杂功能增加了用户的学习时间成本，影响钱包用户的体验。

安猫钱包

安猫钱包是一款轻钱包，由杭州安猫区块链科技有限公司研发，较全节点钱包而言节省了存储空间。且是一款多币种跨链钱包，支持的代币有BTC，BCH，LTC，ETH，ETC，DASH以及ERC-20系列，是目前来说，币种最全，真正意义上的全币种数字货币钱包。

安猫钱包是唯一一款支持中文助记词的数字货币钱包，由12个汉字组成，方便记忆，符合中国人的阅读习惯。

安猫钱包最大的特点，则是很好地应用了轻钱包的可扩展性，在对多种数字资产管理的同时，内嵌DAPP列表，嵌入了安猫鱼塘挖矿游戏，挖到的代币直接存储在钱包中，方便省力，趣味性强，可谓是一款会赚钱的钱包。

内嵌安猫区块浏览器，每笔交易可利用交易地址、区块高度、交易ID实时查询，精准无误。

还有行情、资讯DAPP，一款多功能的数字货币钱包。

不足：暂无交易功能。

麦子钱包

麦子钱包是一款同时支持ETH系、NEO系、EOS系Token的数字钱包，内置人脸、声纹、活体等多种生物识别技术，保障资产安全，这在目前的钱包中来说是独一无二的。

麦子钱包支持币安、火币、GateIO、Okex等主流交易所接口，自动获得持仓数据。

麦子钱包的UI设计在人机交互、界面逻辑、界面美观对用户都有不错的体验。首次操作就可知道功能性流程，以一种直观的方式让用户明白如何与软件交互，界面的设计有着麦子统一的风格。

不足：支持币种较少，在应用模块上，每个应用或者活动的板块，都是一个手机屏幕的宽度，同屏最多显示2.5个应用。虽然看上去很大方美观，但要是找某个应用会比较繁琐，需要不断往下滑。

AToken

AToken是一款支持多币种跨链互换的移动端钱包，具有安全便捷等特点。目前，支持BTC、LTC、ETH、ETC、DOGE、EOS等多个主链币种；BCD、BTG、BCH、SBTC等多个分叉币种；支持以太坊ERC20所有代币。

用户自持私钥，私钥多重加密存储于APP，不以任何形式访问服务器，别人无法触碰您的数字资产；钱包采用5层HD、横向隔离、纵向防御架构；应用PBKDF2、SHA-512等算法加密技术。同时，AToken 实现了钱包的交易加速功能，支持比特币和以太坊的交易加速。

不足：钱包内暂无行情资讯，用户使用较为不便。

基于token的身份验证-2.0版本

之前写过关于token的文章 Token - 服务端身份验证的流行方案 ，是基于当时的实现方案来写的。后来进行了设计的review，被提出有下面的问题：

针对上面的问题，我拉来公司的两位同事进行讨论，将得出的方案作为token2.0版本。

如何做到防止伪造，就是说即使算法泄露，服务端也能识别出来。要做到这一点，服务端就要缓存token的存根，当请求到达时，比较请求中的token和服务端同一个用户的token存根是否匹配。如果匹配，验证通过；如果棚培不匹配，表示token是伪造的链腊唯；或者账号已经在另外的设备上登录，从而挤掉了当前的token，让用户重新登录。所以这个方案，顺便解决了第3个问题。

服务端缓存token，可以使用redis，以userId为key，以详细用户数据和token为value。收到请求时，需要从token中解析出userId，这样才能进一步根据userId从缓存中查数据。但是有一个问题是如何判断token的有效期。

在前一篇文章中，从token解析出token的创建时间，然后加上有效期，跟系统的当前时间进行比较。如果大于当前时间，表示有效，否则表示过期。但是既然服务端已经把token放入缓存了，可以直接使用缓存的有效期来表示token的有效期。一句话：如果根据token解析出来的userId从缓存中查不出来什么，表示token已经过期。

参考了微信登录，他们是基于OAuth2.0标准来做的。当时也对OAuth2.0进行了调研，结果是它是用来为第三方请求资源时提供的一种授权和身份验证机制。简单来说，它的时序图是下面的样子：

因为我们需要维护自己的用户体系，而且只有一个系统，没有必要搞这么多事，所以最后决定放弃OAuth2.0，自己实现身份验证机制，这其实也是参考了之前的一个项目的做法。

微信登录中提到了两个token：access_token和refresh_token。access_token用来请求业务的时候进行身份验证。当access_token过期时，可以使用refresh_token来刷新token（即请求新的token），直到refresh_token也过期了，那么第三方应用需要重新请求授权。access_token有较短的有效期，一般2个小时，refresh_token有效期较长，有30天。

映射到我们的需求局带里，就是APP登录的时候，生成access_token和refresh_token，一同返回给APP。当access_token失效时，APP使用refresh_token来请求刷新token。如果refresh_token过期，需要用户重新登录。这里提到的refresh_token，和上文中所说的摘要是同一个作用。

这个方案用来解决第2个问题，但是针对refresh_token的有效期的实现，我是有点纠结的。如果像access_token一样，使用服务器缓存来控制refresh_token的有效期，redis需要缓存一个月的时间，注意是每一个用户。

所以我选择了另外的方案，即对于refresh_token，我们采用之前的方案。根据解析出来的创建时间，加上配置的有效期，跟当前时间做对比。从而判断是否已经过期。

这样又会有前面提到的问题，如果refresh_token的算法泄漏，那么别人可以自己生成refresh_token来做任何事。面对这个问题，实现机制在刷新token时会验证token的缓存是否依然存在，如果存在就拒绝刷新token。但是在用户2个小时没有请求的情况下，其access_token已经从缓存中移除，这个时机就不能防止伪造的refresh_token了。所以我们只是缓解了这个问题，并没有真正解决它。

针对这个问题，我们有另外的一些想法：

这段话说服我了，当前的工作还有很多，这一块不是最紧急的，暂时就这样吧。我总结下关于refresh_token的两种做法，供读者们根据自己的情况选择：

用户在注册、登录之后，服务器根据userId、devicecode [1] 来生成accessToken和refreshToken，其中accessToken放入缓存中，以userId为key。服务端返回accessToken和refreshToken给app。

[1] devicecode是设备指纹，由app端提供。作为生成token的干扰码的一部分，另外一部分是服务端的配置项。

在拦截器中拦截，从请求数据中读取accessToken和devicecode，解密出userId。对于之后的几种状态，做一下解释：

通过验证的进行业务处理，否则返回拒绝及拒绝的原因给app。

还有一点值得一提，服务端提供的接口中，有需要登录的，有不需要登录的，还有一种是可选的，即如果登录了能返回更详细的信息；否则只返回基本的信息。比如说排行榜，如果用户没有登录，那就是返回简单的排行榜；如果用户已经登录了，服务端还会告诉你排行榜中哪一个是你。

所以token的身份验证，拆分到了两个拦截器，一个拦截所有请求，负责解析token；一个拦截需要登录的接口，拒绝未登录用户的请求：

accessToken解析拦截器的设计思想：

登录拦截器的设计思想：

服务端从请求中读取refreshToken和devicecode，解密出userId。

解密失败，直接返回失败信息。

解密成功，但是根据userId可以从缓存中读到accessToken，表示accessToken还未过期，不应该请求刷新token，所以也会直接拒绝。

解密成功，但是refreshToken已经过期，拒绝。

ok的话就生产token，其中accessToken是一定重新生成的，但是如果refreshToken不是即将过期的情况下，是直接返回同一个refreshToken，而不是重新生成。这是为了避免服务端产生过多的有效的refreshToken，如果refreshToken相当于对app端的授权，服务端不应该无限制的发放授权，只有在前一个授权快要过期了，才发一个新的。

《imToken》iOS苹果版下载安装教程

imToken的苹果版无法直接在App Store找到下载，但是如果我们用的是iOS系统，该怎么下载imToken呢？下扮弯面我为大家带来imtoken苹果版下载安装教程，快来看看吧！

imToken iOS苹果版下载安装教程

1 . 官网下载 App

使腊侍用厅局闷 iOS 自带浏览器 Safari 打开体验版下载链接： ，点击安装到手机上。 （注意：此版本仅供内部测试使用，如果你已经安装过 imToken iOS 版本，此次安装不会覆盖旧版本，你需要重新导入钱包。）

2 . 信任应用证书

打开 iOS 手机设置 - 通用 - 设备管理 - 选择应用 - 弹窗选择信任。

3 . 启动应用

信任证书后，打开 imToken 即可正常使用。