做星铁体力查询的时候，注意到/game_record/app/hkrpg/api/note这个API如果长期不添加x-rpc-device_fp字段会必定触发验证码（retcode 1034），因此建议鉴权中将x-rpc-device_fp放在“少数API才需要验证的额外的请求头”中。

虽然有些地方有点错误，但是总体整理的还是不错的，有没有兴趣并入到UIGF的文档里面呢

Apifox 中维护了大量的 API（半成品），现在欢迎社区人士的加入

DismissedLight 在 Apifox 中邀请你加入团队 UIGF https://app.apifox.com/invite?token=VtE-VfmGnEtA4E_Khmct6

由于链接 7 天就会过期，可以在这个Issue下回复我，我会及时更新链接

以下信息完善后可补充至 /hoyolab/user/game_account_info.md

请求路径与国服相比只有域名不同：

https://hk4e-api-os.hoyoverse.com/event/gacha_info/api/getGachaLog

请求参数与国服类似，增加了 region 参数，但不清楚缺少此参数是否还能成功查询。其值即为 “ID对照表”中的“服务器名称”。

（另外，我可以肯定 init_type 参数对于 API 请求没有实际作用，这是祈愿记录页面的遗留参数，表示祈愿类型下拉框初始选中的类型。）

几个签到软件都无法签到了（活动已结束）

body和query一般来说不会同时存在。
指的是在使用post请求，没有query的时候删除那个字段还是直接设置为空
main = f"salt={salt}&t={t}&r={r}&b={body}&q={query}"
main = f"salt={salt}&t={t}&r={r}&b={body}"
这2种我都试过了，都显示服务不可用

<html>
<head><title>503 Service Temporarily Unavailable</title></head>
<body bgcolor="white">
<center><h1>503 Service Temporarily Unavailable</h1></center>
<hr><center>nginx</center>
</body>
</html>

完整的请求代码如下

async def main():
    # device_id: str = "".join(str(uuid.uuid4()).split("-")).upper() # str(uuid.uuid4()).upper() # "".join(str(uuid.uuid4()).split("-")).upper()
    device_id: str = ''.join(random.choices(ascii_letters + digits, k=32))
    print(device_id)
    print(len(device_id))
    post_data = {
        "role_id": "117373444",
        "server": "prod_gf_cn"
    }
    headers = {
        "x-rpc-app_version": "2.44.1",
        "x-rpc-client_type": "5",
        "x-rpc-device_id": device_id,
        "X-Requested-With": "com.mihoyo.hyperion",
        "Origin": "https://api-takumi-record.mihoyo.com",
        "Host": "api-takumi.mihoyo.com",
        "Referer": "https://webstatic.mihoyo.com",
        "User-Agent": "Mozilla/5.0 (Linux; Android 13; M2101K9C Build/TKQ1.220829.002; wv) " +
            "AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/108.0.5359.128 Mobile Safari/537.36 miHoYoBBS/2.44.1",
        "DS": ds.get_ds(post_data)
    }
    async with aiohttp.ClientSession(cookies=cookies) as session:  # type: ignore
        async with session.get('https://api-takumi-record.mihoyo.com/game_record/app/hkrpg/api/index', params=post_data, headers=headers) as response:
            data = await response.text()
            print(data)

其中get_ds函数长这样

def get_ds(body: Any, query: str = ""):
    # 将要使用的salt，此为2.44.1版本的salt。
    salt = "xV8v4Qu54lUKrEYFZkJhB8cuOh9Asafs"
    # body(post)和query(get)一般来说不会同时存在。
    # 可以使用json库的dumps函数将对象转为JSON字符串。
    body = json.dumps(body)
    # query = "&".join(sorted(query.split("&")))
    t = int(time.time())
    # 直接用更简单粗暴的方法
    r = random.randint(100001, 200000)
    main = f"salt={salt}&t={t}&r={r}&b={body}" # &q={query}"
    print(main)
    ds = md5(main.encode(encoding='UTF-8')).hexdigest()

    final = f"{t},{r},{ds}" # 最终结果。
    return final

按照鉴权那页写的js，
let salt = 'xV8v4Qu54lUKrEYFZkJhB8cuOh9Asafs';
let time = new Date().getTime().toString().substring(0, 10);
let random = Math.floor(Math.random() * 100001 + 100001);
let body = '';
let query = "role_id=xxxxx&server=prod_gf_cn&isPrev=&schedule_type=1&need_all=true"
let sign = md5("salt=" + salt + "&t=" + time + "&r=" + random + "&b=" + body + "&q=" + query);
console.log(time + "," + random + "," + sign)

header是
Host: api-takumi-record.mihoyo.com
DS:ds
x-rpc-app_version: 2.52.1
x-rpc-client_type: 5

用米游社抓包出来的ds放进去能用，用上述代码生成的ds丢header里会报-10001错误，代码应该没错吧，请问是不是算法或salt改变了？

https://api-takumi-record.mihoyo.com/game_record/app/genshin/api/dailyNote 获取游戏内实时数据的api，我通过快捷指令做了一个快速查看，然后使用圈x做了一个监控脚本，但是经常发生数据无法获取的情况，retcode是1034。

在米游社打开便签页面会提示账号异常，通过验证码之后恢复，但是过段时间还会这样。

可用的salt

需要在验证请求头的API的生成DS请求头字段值时使用合适的salt

以下版本早已不可用

安全性API的RSA公钥：

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDvekdPMHN3AYhm/vktJT+YJr7
cI5DcsNKqdsx5DZX0gDuWFuIjzdwButrIYPNmRJ1G8ybDIF7oDW2eEpm5sMbL9zs
9ExXCdvqrn51qELbqj0XxtMTIpaCHFSI50PfPpTFV9Xt/hmyVwokoOXFlAEgCn+Q
CgGs52bFoYMtyi+xEQIDAQAB
-----END PUBLIC KEY-----

应该使用哪个salt

取决于你想在请求头的x-rpc-app_version中的米游社版本，每个版本有其对应的K2salt和LK2salt。但是4Xsalt和6Xsalt是每个版本都不变的。

也取决于请求头的x-rpc-client_type：

• 当x-rpc-client_type为2时，一般使用K2salt，并配合DS1生成算法。
• 当x-rpc-client_type为4时，一般使用LK2salt，并配合DS1生成算法。
• 当x-rpc-client_type为5时，一般使用4X或6Xsalt，并配合DS2生成算法。

x-rpc-client_type的值会在需要验证请求头的API进行标识。

如果某个API需要独有的salt、DS算法等，会进行标识。

用例：

• K2和LK2通常用于米游社内的操作。
• 4X通常用于查询游戏账号信息（如api-takumi-record.mihoyo.com的API使用较多）。
• 6X使用较少，用于签到福利。
• PROD主要用于账号相关的

salt位置

x-rpc-client_type为2时使用的salt

APK被混淆后的com.mihoyo.hyperion.manager.AManager.k2()中。

x-rpc-client_type为4时使用的salt

APK被混淆后的com.mihoyo.hyperion.manager.AManager.lk2()中。

x-rpc-client_type为5时使用的salt

4Xsalt在libxxxxxx.so中的Java_com_mihoyo_hyperion_net_aaaaa_a2222。
6Xsalt在libxxxx.so中的Java_com_mihoyo_hyperion_net_aaaaa_b5555。

DS生成算法的位置

注：下文简称“DS算法”。

DS算法的位置：

com.mihoyo.hyperion.net.bbbbb.a2222

用于DS生成的函数

来自libdddd.so

DS1算法。

因为该函数直接传入了salt，因此记录该函数的参数值即可获得K2salt。

参数：salt

返回：DS1

com.mihoyo.hyperion.net.aaaaa.a2222

来自libxxxxxx.so

DS2算法

参数：POST请求的数据，GET请求的URL参数

返回：DS2

com.mihoyo.hyperion.net.aaaaa.b5555

来自libxxxx.so

DS2算法

参数：POST请求的数据，GET请求的URL参数

返回：DS2

https://github.com/DGP-Studio/Snap.Hutao/blob/main/src/Snap.Hutao/Snap.Hutao/Web/ApiEndpoints.cs
https://github.com/DGP-Studio/Snap.Hutao/blob/main/src/Snap.Hutao/Snap.Hutao/Web/ApiOsEndpoints.cs

从作用上讲 DS 应该是 DataSign（数据签名）而不是 Dynamic Secret（动态密钥）