Alist项目中PikPak云存储验证机制的技术解析与实现

2025-05-01 22:10:02作者：管翌锬

背景介绍

PikPak作为一款新兴的云存储服务，近期对其API接口进行了安全升级，增加了复杂的验证机制。这一变化导致许多第三方客户端（包括Alist项目）无法正常使用PikPak服务。本文将深入分析PikPak的新验证机制，并提供技术实现方案。

验证机制分析

PikPak的新验证系统采用了多层防护策略，主要包括以下几个关键环节：

初始验证请求：每个API调用前都需要通过v1/shield/captcha/init接口获取captcha_token
滑块验证：登录时可能触发图形滑块验证，需要完成验证后获取traceid和pid
签名验证：后续请求需要携带captcha_sign参数，基于设备ID和时间戳生成
令牌刷新：captcha_token具有时效性，需要定期更新

技术实现细节

1. 初始化验证流程

初始化阶段需要向PikPak服务器发送设备信息和操作类型：

def init(phone, xid):
    url = 'https://user.mypikpak.com/v1/shield/captcha/init'
    body = {
        "client_id": "YvtoWO6GNHiuCl7x",
        "action": "POST:/v1/auth/signin",
        "device_id": xid,
        "captcha_token": "",
        "meta": {"phone_number": "+86"+phone}
    }
    # 发送请求并处理响应

2. 滑块验证处理

当系统检测到异常登录行为时，会触发滑块验证：

def get_image(xid):
    # 获取验证图片和拼图数据
    response = requests.get("https://user.mypikpak.com/pzzl/gen", params={"deviceid": xid})
    imgs_json = response.json()
    
    # 保存并处理验证图片
    save_image(img_data, 'temp/1.png')
    image.run('temp/1.png', frames)
    
    # 识别滑块位置
    select_id = recognize.run()
    
    # 生成验证参数
    json_data = img_jj(frames, int(select_id), pid)
    return {"pid": pid, "traceid": traceid}

3. 签名生成算法

PikPak使用了多层MD5哈希算法生成请求签名：

def get_sign(xid, t):
    md5_hash = f"YUMx5nI8ZU8Ap8pm2.0.0mypikpak.com{xid}{t}"
    salts = [...]  # 包含多个盐值字符串的数组
    
    for salt in salts:
        md5_hash += salt
        md5_hash = hashlib.md5(md5_hash.encode()).hexdigest()
    
    return f"1.{md5_hash}"

4. API请求封装

所有后续API请求都需要携带验证令牌：

def get_files(xid, access_token, captcha_token):
    headers = {
        'User-Agent': 'Mozilla/5.0...',
        'X-Device-Id': xid,
        'Authorization': 'Bearer ' + access_token,
        'x-captcha-token': captcha_token
    }
    
    response = requests.get(
        "https://api-drive.mypikpak.com/drive/v1/files",
        headers=headers
    )
    return response.json()