Zh:Microsoft Authentication Scheme

From wiki.vg
Revision as of 09:51, 13 January 2023 by Heipiao (talk | contribs)
Jump to navigation Jump to search

Minecraft正在迁移至微软账号。自2020年12月起,所有新账号已经使用了新版系统,旧的账号也将在之后迁移,详见这篇博文

新版系统需要多个步骤以及不同的令牌,但是最后你还是回获得一个普通的Minecraft令牌。启动游戏本身并没有改变。

微软OAuth流程

在所有这些步骤之前,你需要先通过创建一个 微软 Azure 应用程序 来获得一个客户端 ID。你需要获得一个客户端密码。

你可以通过 OAuth 2.0 授权代码流 来获取一个访问令牌。你需要向用户显示一个登录页面,一旦完成,会重定向到一个指定的 URL,并在查询参数里传递 token。在非 web 应用程序中这需要通过搭建一个临时 HTTP 服务器来处理这个重定向。如果你不希望这样,可以使用(不那么自动化的)设备代码流 代替。

不论如何,你需要把 XboxLive.signin 包含在认证请求的 scope 参数内,否则下一个终结点会报错。


XBL身份验证

现在,我们已通过微软身份验证,可以向xbox live进行身份验证。

我们需要发送:

 1  POST https://user.auth.xboxlive.com/user/authenticate
 2  {
 3     "Properties": {
 4         "AuthMethod": "RPS",
 5         "SiteName": "user.auth.xboxlive.com",
 6         "RpsTicket": "d=<access_token>" // 第一步中获取的访问令牌
 7     },
 8     "RelyingParty": "http://auth.xboxlive.com",
 9     "TokenType": "JWT"
10  }

同样,也得设置Content-Type: application/json以及Accept: application/json

响应看起来会像这样:

 1  {
 2    "IssueInstant":"2020-12-07T19:52:08.4463796Z",
 3    "NotAfter":"2020-12-21T19:52:08.4463796Z",
 4    "Token":"token", // 保存它,这是你的xbl令牌
 5    "DisplayClaims":{
 6       "xui":[
 7          {
 8             "uhs":"uhs" // 保存它
 9          }
10       ]
11    }
12  }

我们需要保存这里的Tokenuhs。uhs是user hash的缩写,为用户信息哈希值。

XSTS身份验证

现在,我们已经通过XBL进行了身份验证,我们需要获取XSTS令牌,我们可以使用它来登录Minecraft。

 1  POST https://xsts.auth.xboxlive.com/xsts/authorize
 2  {
 3     "Properties": {
 4         "SandboxId": "RETAIL",
 5         "UserTokens": [
 6             "xbl_token" // from above
 7         ]
 8     },
 9     "RelyingParty": "rp://api.minecraftservices.com/",
10     "TokenType": "JWT"
11  }

同样还是设置Content-Type: application/json以及Accept: application/json

响应看起来会像这样:

 1  {
 2    "IssueInstant":"2020-12-07T19:52:09.2345095Z",
 3    "NotAfter":"2020-12-08T11:52:09.2345095Z",
 4    "Token":"token", // 保存它,这是你的xsts令牌
 5    "DisplayClaims":{
 6       "xui":[
 7          {
 8             "uhs":"" // 与上个请求相同
 9          }
10       ]
11    }
12 }

Minecraft身份验证

现在,我们终于可以回到Minecraft身上了,上一各请求中获取的XSTS令牌允许我们验证Minecraft。

1  POST https://api.minecraftservices.com/authentication/login_with_xbox
2  {
3     "identityToken": "XBL3.0 x=<uhs>;<xsts_token>"
4  }

响应:

1  {
2   "username" : "some uuid", // 这并不是账号的uuid
3   "roles" : [ ],
4   "access_token" : "minecraft access token", // jwt,你的老朋友Minecraft访问令牌
5   "token_type" : "Bearer",
6   "expires_in" : 86400
7  }

这个访问令牌(access_token)允许我们启动游戏,但是,我们甚至还没有检查该账号是否拥有游戏。之前我们做的所有工作都是与微软账号进行的!

检查游戏拥有情况

那么现在让我们使用MC的访问令牌来检查该账号是否包含产品许可。

GET https://api.minecraftservices.com/entitlements/mcstore

访问令牌在验证文件头中:Authorization: Bearer token。请注意,Bearer必须保留,token是上一步获取到的访问令牌。

如果用户拥有游戏,那么响应会看起来像这样:

 1  {
 2   "items" : [ {
 3     "name" : "product_minecraft",
 4     "signature" : "jwt sig"
 5   }, {
 6     "name" : "game_minecraft",
 7     "signature" : "jwt sig"
 8   } ],
 9   "signature" : "jwt sig",
10   "keyId" : "1"
11  }

第一个jwts会包含值:

1  {
2   "typ": "JWT",
3   "alg": "RS256",
4   "kid": "1"
5  }.{
6   "signerId": "2535416586892404",
7   "name": "product_minecraft"
8  }.[Signature]

最后一个jwt看起来是这样解码的:

 1  {
 2   "typ": "JWT",
 3   "alg": "RS256",
 4   "kid": "1"
 5  }.{
 6   "entitlements": [
 7     {
 8       "name": "product_minecraft"
 9     },
10     {
11       "name": "game_minecraft"
12     }
13   ],
14   "signerId": "2535416586892404"
15  }.[Signature]

如果该账号没有拥有游戏,那么项目为空。

获取档案

现在我们知道了该账号拥有游戏,那么可以获取他的档案来得到uuid:

GET https://api.minecraftservices.com/minecraft/profile

同样,访问令牌在验证文件头中:Authorization: Bearer token

如果账号拥有游戏,响应看起来会像这样:

 1  {
 2   "id" : "986dec87b7ec47ff89ff033fdb95c4b5", // 账号的真实uuid
 3   "name" : "HowDoesAuthWork", // 该账号的mc用户名
 4   "skins" : [ {
 5     "id" : "6a6e65e5-76dd-4c3c-a625-162924514568",
 6     "state" : "ACTIVE",
 7     "url" : "http://textures.minecraft.net/texture/1a4af718455d4aab528e7a61f86fa25e6a369d1768dcb13f7df319a713eb810b",
 8     "variant" : "CLASSIC",
 9     "alias" : "STEVE"
10   } ],
11   "capes" : [ ]
12  }

否则会看起来像这样:

1  {
2   "path" : "/minecraft/profile",
3   "errorType" : "NOT_FOUND",
4   "error" : "NOT_FOUND",
5   "errorMessage" : "The server has not found anything matching the request URI",
6   "developerMessage" : "The server has not found anything matching the request URI"
7  }

那么这样就可以知道所有必要的数据(MC访问令牌、用户名和uuid)来启动游戏了。干得漂亮!

示例实现

这里有个简易的Java示例实现(使用了javafx和它的webview):https://github.com/MiniDigger/MiniLauncher/blob/master/launcher/src/main/java/me/minidigger/minecraftlauncher/launcher/gui/MsaFragmentController.java