RustMinerSystem

文档

API 请求头与鉴权

RustMinerSystem 无需登录的 API 调用方式、自定义请求头、权限边界和后台内部会话接口说明。

API 请求头与鉴权

RustMinerSystem 对外 API 调用不需要登录管理后台,也不需要先获取后台登录 TOKEN。第三方程序应通过专用的自定义请求头完成 API 鉴权。

核心规则

  • 不需要调用 /api/_/key
  • 不需要调用 /api/_/login
  • 不需要保存后台用户名或密码。
  • 不使用管理后台的 Authorization: Bearer <登录 TOKEN> 作为开放 API 凭据。
  • 每次 API 请求直接携带配置好的自定义请求头。

请求示例

自定义请求头功能完成后,调用形式如下:

GET /{安全路径}/api/ports
<自定义请求头名称>: <API 凭据>
Content-Type: application/json

请求头的正式名称、凭据格式和生成方式尚未在当前后端完成,因此文档暂时使用占位符,不预先虚构字段名称。

待补充的鉴权契约

自定义请求头功能完成后,本章需要继续补充:

  • 请求头正式名称。
  • API 凭据的生成、查看和复制方式。
  • 凭据是否区分只读和管理权限。
  • 可访问的接口范围。
  • 过期时间和轮换方式。
  • 吊销和重新生成方式。
  • 来源 IP、跨域和调用频率限制。
  • 请求头缺失、无效、过期或权限不足时的错误码。

在这些规则确定前,不应把后台登录 TOKEN 作为替代方案写入第三方程序。

后台内部会话接口

新版管理后台本身仍然使用以下会话接口,但它们不属于第三方 API 的调用前置流程:

方法 路径 后台内部用途
GET /api/_/key 获取管理后台登录加密密钥。
POST /api/_/login 登录管理后台。
POST /api/_/verify 验证后台登录 TOTP。
POST /api/_/logout 注销后台会话。
POST /api/_/changepassword 修改后台账号和密码。
POST /api/_/setting/code 开启后台 TOTP。
DELETE /api/_/setting/code 关闭后台 TOTP。
GET /api/2step/route 获取后台 TOTP 保护列表。
POST /api/2step/route 保存后台 TOTP 保护列表。
POST /api/token/exp 设置后台登录会话时长。

外部 API 客户端不需要调用这些接口,也不需要实现 AES 登录加密流程。

特殊只读凭据

观察者模式继续使用独立的:

X-OB-TOKEN: <观察者 TOKEN>

它只用于观察者页面提供的只读接口,不等同于未来的通用 API 凭据。

安全建议

  • API 凭据只通过 HTTPS 传输。
  • 不把凭据写入 URL、查询参数、日志或截图。
  • 为不同调用方生成独立凭据,不要多人共用。
  • 自动化程序通过环境变量或密钥管理服务读取凭据。
  • 凭据泄漏后应立即吊销并重新生成。
  • 对修改端口、钱包、证书和防火墙的接口使用更严格权限。