PDA（程序派生地址）与 Solana 中的密钥对账户

RareSkills
发布于 2024-03-13 20:48
阅读 212

文章详细介绍了 Solana 区块链中的 Program Derived Address (PDA) 和 Keypair Account 的区别与使用场景，并通过代码示例展示了如何创建和初始化这两种账户，解释了它们的安全性和应用差异。

![Hero image showing PDA $Program Derived Address v.s. Keypair accounts$](https://img.learnblockchain.cn/2025/02/28/935a00_1e7a9139d15a4acdb28cc700986b5661~mv2.jpg)

一个程序派生地址（PDA）是一个账户，其地址是由创建它的程序的地址和传递给 `init` 交易的 `seeds` 派生而来的。到目前为止，我们只使用了 PDAs。

也可以在程序外创建一个账户，然后在程序内对该账户进行 `init`。

有趣的是，我们在程序外创建的账户将有一个私钥，但是我们会看到这并不会如看上去那样带来安全隐患。我们将其称为“keypair account”。

## 账户创建回顾

在讨论 keypair accounts 之前，让我们回顾一下我们在 [Solana 教程](https://learnblockchain.cn/column/119) 中创建账户的方法。这是我们使用的相同代码模版，它创建程序派生地址（PDA）：

```rust
use anchor_lang::prelude::*;
use std::mem::size_of;

declare_id!("4wLnxvLwgXGT4eNg3D456K6Fxa1RieaUdERSPQ3WEpuV");

#[program]
pub mod keypair_vs_pda {
    use super::*;

pub fn initialize_pda(ctx: Context<InitializePDA>) -> Result<()> {
        Ok(())
    }
}

#[derive(Accounts)]
pub struct InitializePDA<'info> {

// 这是程序派生地址
    #[account(init,
              payer = signer,
              space=size_of::<MyPDA>() + 8,
              seeds = [],
              bump)]
    pub my_pda: Account<'info, MyPDA>,

#[account(mut)]
    pub signer: Signer<'info>,

pub system_program: Program<'info, System>,
}

#[account]
pub struct MyPDA {
    x: u64,
}

```

以下是调用 `initialize` 的关联 Typescript 代码：

```typescript
import * as anchor from "@coral-xyz/anchor";
import { Program } from "@coral-xyz/anchor";
import { KeypairVsPda } from "../target/types/keypair_vs_pda";

describe("keypair_vs_pda", () => {
  anchor.setProvider(anchor.AnchorProvider.env());

const program = anchor.workspace.KeypairVsPda as Program<KeypairVsPda>;

it("已初始化 -- PDA 版本", async () => {
    const seeds = []
    const [myPda, _bump] = anchor.web3.PublicKey.findProgramAddressSync(seeds, program.programId);

console.log("存储账户地址是", myPda.toBase58());

const tx = await program.methods.initializePda().accounts({myPda: myPda}).rpc();
  });
});

```

到目前为止，这些都应该是熟悉的，除了我们明确调用我们的账户为“PDA”。

## 程序派生地址

如果一个账户的地址是由程序的地址派生而来的，例如在 `findProgramAddressSync(seeds, program.programId)` 中的 `programId`，那么该账户就是程序派生地址（PDA）。它也是 `seeds` 的一个函数。

具体地说，我们知道它是一个 PDA，因为 `seeds` 和 `bump` 出现在 `init` 宏中。

## Keypair Account

以下代码将与上面的代码非常相似，但是请注意 `init` 宏缺少 `seeds` 和 `bump`：

```rust
use anchor_lang::prelude::*;
use std::mem::size_of;

declare_id!("4wLnxvLwgXGT4eNg3D456K6Fxa1RieaUdERSPQ3WEpuV");

#[program]
pub mod keypair_vs_pda {
    use super::*;

pub fn initialize_keypair_account(ctx: Context<InitializeKeypairAccount>) -> Result<()> {
        Ok(())
    }
}

#[derive(Accounts)]
pub struct InitializeKeypairAccount<'info> {
    // 这是程序派生地址
    #[account(init,
              payer = signer,
              space = size_of::<MyKeypairAccount>() + 8,)]
    pub my_keypair_account: Account<'info, MyKeypairAccount>,

#[account(mut)]
    pub signer: Signer<'info>,

pub system_program: Program<'info, System>,
}

#[account]
pub struct MyKeypairAccount {
    x: u64,
}

```

当 `seed` 和 `bump` 缺失时，**Anchor 程序现在期望我们先创建一个账户，然后将该账户传递给程序。由于我们自己创建该账户，其地址将不会是“派生自”程序的地址。换句话说，它将不是程序派生账户（PDA）**。

为程序创建一个账户简单到只需生成一个新的 keypair（以与我们用来 [测试不同签名者在 Anchor 中](https://learnblockchain.cn/article/11408) 相同的方式）。是的，这听起来可能有点可怕，因为我们持有用来存储数据的账户的秘密钥匙——我们稍后会重新讨论这一点。现在，这是创建新账户并将其传递给上述程序的 Typescript 代码。我们会对此中的重要部分进行强调：

```typescript
import * as anchor from "@coral-xyz/anchor";
import { Program } from "@coral-xyz/anchor";
import { KeypairVsPda } from "../target/types/keypair_vs_pda";

// 该函数向一个地址空投sol
async function airdropSol(publicKey, amount) {
  let airdropTx = await anchor.getProvider().connection.requestAirdrop(publicKey, amount * anchor.web3.LAMPORTS_PER_SOL);
  await confirmTransaction(airdropTx);
}

async function confirmTransaction(tx) {
  const latestBlockHash = await anchor.getProvider().connection.getLatestBlockhash();
  await anchor.getProvider().connection.confirmTransaction({
    blockhash: latestBlockHash.blockhash,
    lastValidBlockHeight: latestBlockHash.lastValidBlockHeight,
    signature: tx,
  });
}

describe("keypair_vs_pda", () => {
  anchor.setProvider(anchor.AnchorProvider.env());

const program = anchor.workspace.KeypairVsPda as Program<KeypairVsPda>;

it("已初始化 -- keypair 版本", async () => {
		
    const newKeypair = anchor.web3.Keypair.generate();
    await airdropSol(newKeypair.publicKey, 1e9); // 1 SOL

console.log("keypair 账户地址是", newKeypair.publicKey.toBase58());

await program.methods.initializeKeypairAccount()
      .accounts({myKeypairAccount: newKeypair.publicKey})
      .signers([newKeypair]) // 签名者必须是keypair
      .rpc();
  });
});

```

我们想强调的几点：

* 我们添加了一个工具函数 `airdropSol`，以将 SOL 空投到我们创建的 `newKeypair`。如果没有 SOL，将无法支付交易费用。此外，因为这是用来存储数据的相同账户，它需要一个 SOL 余额以 [达到租金豁免](https://learnblockchain.cn/article/11420)。在空投 SOL 时，需要额外的 `confirmTransaction` 例程，因为在运行时关于 SOL 实际空投的时间以及交易确认时间之间似乎存在竞争条件。
  * 我们将 `signers` 从默认的一个改为 `newKeypair`。当创建 keypair 账户时，无法创建你不持有私钥的账户。

## 不可能初始化一个没有私钥的 keypair 账户

如...

$Hero image showing PDA $Program Derived Address v.s. Keypair accounts$$

一个程序派生地址（PDA）是一个账户，其地址是由创建它的程序的地址和传递给 init 交易的 seeds 派生而来的。到目前为止，我们只使用了 PDAs。

也可以在程序外创建一个账户，然后在程序内对该账户进行 init。

有趣的是，我们在程序外创建的账户将有一个私钥，但是我们会看到这并不会如看上去那样带来安全隐患。我们将其称为“keypair account”。

账户创建回顾

在讨论 keypair accounts 之前，让我们回顾一下我们在 Solana 教程中创建账户的方法。这是我们使用的相同代码模版，它创建程序派生地址（PDA）：

use anchor_lang::prelude::*;
use std::mem::size_of; 

declare_id!("4wLnxvLwgXGT4eNg3D456K6Fxa1RieaUdERSPQ3WEpuV");

#[program]
pub mod keypair_vs_pda {
    use super::*;

    pub fn initialize_pda(ctx: Context&lt;InitializePDA>) -> Result&lt;()> {
        Ok(())
    }
}

#[derive(Accounts)]
pub struct InitializePDA&lt;'info> {

    // 这是程序派生地址
    #[account(init,
              payer = signer,
              space=size_of::&lt;MyPDA>() + 8,
              seeds = [],
              bump)]
    pub my_pda: Account&lt;'info, MyPDA>,

    #[account(mut)]
    pub signer: Signer&lt;'info>,

    pub system_program: Program&lt;'info, System>,
}

#[account]
pub struct MyPDA {
    x: u64,
}

以下是调用 initialize 的关联 Typescript 代码：

import * as anchor from "@coral-xyz/anchor";
import { Program } from "@coral-xyz/anchor";
import { KeypairVsPda } from "../target/types/keypair_vs_pda";

describe("keypair_vs_pda", () => {
  anchor.setProvider(anchor.AnchorProvider.env());

  const program = anchor.workspace.KeypairVsPda as Program&lt;KeypairVsPda>;

  it("已初始化 -- PDA 版本", async () => {
    const seeds = []
    const [myPda, _bump] = anchor.web3.PublicKey.findProgramAddressSync(seeds, program.programId);

    console.log("存储账户地址是", myPda.toBase58());

    const tx = await program.methods.initializePda().accounts({myPda: myPda}).rpc();
  });
});

到目前为止，这些都应该是熟悉的，除了我们明确调用我们的账户为“PDA”。

程序派生地址

如果一个账户的地址是由程序的地址派生而来的，例如在 findProgramAddressSync(seeds, program.programId) 中的 programId，那么该账户就是程序派生地址（PDA）。它也是 seeds 的一个函数。

具体地说，我们知道它是一个 PDA，因为 seeds 和 bump 出现在 init 宏中。

Keypair Account

以下代码将与上面的代码非常相似，但是请注意 init 宏缺少 seeds 和 bump：

use anchor_lang::prelude::*;
use std::mem::size_of;

declare_id!("4wLnxvLwgXGT4eNg3D456K6Fxa1RieaUdERSPQ3WEpuV");

#[program]
pub mod keypair_vs_pda {
    use super::*;

    pub fn initialize_keypair_account(ctx: Context&lt;InitializeKeypairAccount>) -> Result&lt;()> {
        Ok(())
    }
}

#[derive(Accounts)]
pub struct InitializeKeypairAccount&lt;'info> {
    // 这是程序派生地址
    #[account(init,
              payer = signer,
              space = size_of::&lt;MyKeypairAccount>() + 8,)]
    pub my_keypair_account: Account&lt;'info, MyKeypairAccount>,

    #[account(mut)]
    pub signer: Signer&lt;'info>,

    pub system_program: Program&lt;'info, System>,
}

#[account]
pub struct MyKeypairAccount {
    x: u64,
}

当 seed 和 bump 缺失时，Anchor 程序现在期望我们先创建一个账户，然后将该账户传递给程序。由于我们自己创建该账户，其地址将不会是“派生自”程序的地址。换句话说，它将不是程序派生账户（PDA）。

为程序创建一个账户简单到只需生成一个新的 keypair（以与我们用来测试不同签名者在 Anchor 中相同的方式）。是的，这听起来可能有点可怕，因为我们持有用来存储数据的账户的秘密钥匙——我们稍后会重新讨论这一点。现在，这是创建新账户并将其传递给上述程序的 Typescript 代码。我们会对此中的重要部分进行强调：

import * as anchor from "@coral-xyz/anchor";
import { Program } from "@coral-xyz/anchor";
import { KeypairVsPda } from "../target/types/keypair_vs_pda";

// 该函数向一个地址空投sol
async function airdropSol(publicKey, amount) {
  let airdropTx = await anchor.getProvider().connection.requestAirdrop(publicKey, amount * anchor.web3.LAMPORTS_PER_SOL);
  await confirmTransaction(airdropTx);
}

async function confirmTransaction(tx) {
  const latestBlockHash = await anchor.getProvider().connection.getLatestBlockhash();
  await anchor.getProvider().connection.confirmTransaction({
    blockhash: latestBlockHash.blockhash,
    lastValidBlockHeight: latestBlockHash.lastValidBlockHeight,
    signature: tx,
  });
}

describe("keypair_vs_pda", () => {
  anchor.setProvider(anchor.AnchorProvider.env());

  const program = anchor.workspace.KeypairVsPda as Program&lt;KeypairVsPda>;

  it("已初始化 -- keypair 版本", async () => {

    const newKeypair = anchor.web3.Keypair.generate();
    await airdropSol(newKeypair.publicKey, 1e9); // 1 SOL

    console.log("keypair 账户地址是", newKeypair.publicKey.toBase58());

    await program.methods.initializeKeypairAccount()
      .accounts({myKeypairAccount: newKeypair.publicKey})
      .signers([newKeypair]) // 签名者必须是keypair
      .rpc();
  });
});

我们想强调的几点：

我们添加了一个工具函数 airdropSol，以将 SOL 空投到我们创建的 newKeypair。如果没有 SOL，将无法支付交易费用。此外，因为这是用来存储数据的相同账户，它需要一个 SOL 余额以达到租金豁免。在空投 SOL 时，需要额外的 confirmTransaction 例程，因为在运行时关于 SOL 实际空投的时间以及交易确认时间之间似乎存在竞争条件。
我们将 signers 从默认的一个改为 newKeypair。当创建 keypair 账户时，无法创建你不持有私钥的账户。