抛开安全问题，我觉得用授权来做 x402 是不优雅的： 本来 x402 设计是让用户免 gas（通过erc3009），但是用户授权那笔交易需要gas。 如果不过度授权，让用户每一笔授权一次，那就是每一笔都需要gas 😂 安全角度： 的确，过度授权不安全，但即便是 base 上的 x402，也能通过你的签名把 u 盗了（比如让你签名把所有的u都转给商家）。所以一个无需信任的前端很重要，目前 x402scan 在做这个事情。