文档
API 请求头与鉴权
RustMinerSystem 无需登录的 API 调用方式、自定义请求头、权限边界和后台内部会话接口说明。
API 请求头与鉴权
RustMinerSystem 对外 API 调用不需要登录管理后台,也不需要先获取后台登录 TOKEN。第三方程序应通过专用的自定义请求头完成 API 鉴权。
核心规则
- 不需要调用
/api/_/key。 - 不需要调用
/api/_/login。 - 不需要保存后台用户名或密码。
- 不使用管理后台的
Authorization: Bearer <登录 TOKEN>作为开放 API 凭据。 - 每次 API 请求直接携带配置好的自定义请求头。
请求示例
自定义请求头功能完成后,调用形式如下:
GET /{安全路径}/api/ports
<自定义请求头名称>: <API 凭据>
Content-Type: application/json
请求头的正式名称、凭据格式和生成方式尚未在当前后端完成,因此文档暂时使用占位符,不预先虚构字段名称。
待补充的鉴权契约
自定义请求头功能完成后,本章需要继续补充:
- 请求头正式名称。
- API 凭据的生成、查看和复制方式。
- 凭据是否区分只读和管理权限。
- 可访问的接口范围。
- 过期时间和轮换方式。
- 吊销和重新生成方式。
- 来源 IP、跨域和调用频率限制。
- 请求头缺失、无效、过期或权限不足时的错误码。
在这些规则确定前,不应把后台登录 TOKEN 作为替代方案写入第三方程序。
后台内部会话接口
新版管理后台本身仍然使用以下会话接口,但它们不属于第三方 API 的调用前置流程:
| 方法 | 路径 | 后台内部用途 |
|---|---|---|
| GET | /api/_/key |
获取管理后台登录加密密钥。 |
| POST | /api/_/login |
登录管理后台。 |
| POST | /api/_/verify |
验证后台登录 TOTP。 |
| POST | /api/_/logout |
注销后台会话。 |
| POST | /api/_/changepassword |
修改后台账号和密码。 |
| POST | /api/_/setting/code |
开启后台 TOTP。 |
| DELETE | /api/_/setting/code |
关闭后台 TOTP。 |
| GET | /api/2step/route |
获取后台 TOTP 保护列表。 |
| POST | /api/2step/route |
保存后台 TOTP 保护列表。 |
| POST | /api/token/exp |
设置后台登录会话时长。 |
外部 API 客户端不需要调用这些接口,也不需要实现 AES 登录加密流程。
特殊只读凭据
观察者模式继续使用独立的:
X-OB-TOKEN: <观察者 TOKEN>
它只用于观察者页面提供的只读接口,不等同于未来的通用 API 凭据。
安全建议
- API 凭据只通过 HTTPS 传输。
- 不把凭据写入 URL、查询参数、日志或截图。
- 为不同调用方生成独立凭据,不要多人共用。
- 自动化程序通过环境变量或密钥管理服务读取凭据。
- 凭据泄漏后应立即吊销并重新生成。
- 对修改端口、钱包、证书和防火墙的接口使用更严格权限。
