这次分析的核心是还原某饭视频 App 主业务 API 的请求签名算法。主业务接口使用 timestamp、X-UIDM 和 X-Cyc-Signature 完成请求校验。其中 X-UIDM 和 X-Cyc-Signature 都基于 XXH64 生成,seed 来自秒级时间戳。
一、请求签名的整体结构
主业务接口的 Base URL 是:
https://fywhj5yc6c.moedot.net每次请求都会在 URL query 中追加毫秒时间戳:
timestamp=1777289850782公共 Header 里和签名直接相关的是两个字段:
X-UIDM:由固定字符串和时间 seed 计算得到。X-Cyc-Signature:由标准化后的请求 payload 计算得到。
这两个值不是静态字符串。只要 timestamp 变化,seed 就会变化;只要请求路径、参数或 body 变化,签名也会变化。
本内容需要登录后查看