幸运云端验证系统-幸运验证

接口地址： https://xy.ttnb666.top/api.php?api=userbindqq&app=YOUR_APP_ACCESS_CODE

返回格式： JSON

请求方式： POST

请求示例： https://xy.ttnb666.top/api.php?api=userbindqq&app=YOUR_APP_ACCESS_CODE

安全协议： v2 HMAC-SHA256，旧版 MD5 Sign、GET 直连和 URL 带 key 均不兼容

公共安全参数：

名称	变量/请求头	必填	位置	说明
协议版本	security_version / X-Auth-Version	是	POST或Header	固定填写 2
时间戳	security_timestamp / X-Auth-Timestamp	是	POST或Header	Unix 秒级时间戳，允许 300 秒误差
随机串	security_nonce / X-Auth-Nonce	是	POST或Header	16 到 96 位随机字符串，每次请求必须不同
请求签名	security_sign / X-Auth-Signature	是	POST或Header	使用 APPKEY 对签名原文计算 HMAC-SHA256
登录令牌	auth_token / X-Auth-Token	按接口需要	POST或Header	卡密登录、账号登录等登录成功后返回；解绑、取文件等授权态接口必须提交

签名原文：

app-api-v2
POST
userbindqqYOUR_APP_ACCESS_CODE
security_timestamp
security_nonce
auth_token或留空
按参数名升序排序后的业务参数查询串

业务参数查询串只包含接口业务字段，不包含 api、app、security_version、security_timestamp、security_nonce、security_sign、sign、auth_token、data、value、PHPSESSID 等安全或系统字段。编码规则使用 RFC3986 URL 编码。签名原文里的 app 字段必须和请求地址里的 app 参数完全一致。

响应验签：

服务端返回 server_sign_alg=RSA-SHA256、server_key_id、server_key_scope、server_public_key、server_sign、request_nonce、server_time
客户端必须校验 request_nonce 等于本次 nonce
客户端必须使用当前应用预置的服务端公钥验 server_sign
server_sign = base64url(rsa_sha256_sign(canonical_json_without_server_sign, SERVER_PRIVATE_KEY))

每个应用可以配置独立响应签名私钥/公钥。正式客户端不能只信任响应里带回的 server_public_key；应内置当前应用访问码对应的固定公钥或固定 server_key_id。server_public_key 仅用于展示、调试和公钥轮换对照。

业务请求参数说明：

名称	变量	必填	类型	说明
业务参数	按接口说明填写	按需	string	新增标准接口统一使用 POST + v2 HMAC；具体字段可在一键对接示例中复制。

返回参数说明：

名称	类型	说明
code	int	200 表示成功，其它为失败。
msg	mixed	接口业务返回内容。
server_sign	string	RSA-SHA256 响应签名，客户端必须校验。

返回示例：

{
  "code": 200,
  "msg": {
    "result": "ok"
  },
  "security_version": 2,
  "request_nonce": "本次请求nonce",
  "server_sign_alg": "RSA-SHA256",
  "server_key_id": "当前应用公钥ID",
  "server_sign": "base64url签名"
}

请在应用管理点击“一键对接”，选择项目类型和接口后复制完整示例。