• 版本：1.0.0
• 服务器：https://login.xsolla.com/api
• 协议：https
• 接受：application/json
• 响应格式：application/json
• 通过邮件与我们联系
• 联系网址： https://xsolla.com/

本部分介绍用于登录管理器的API调用。发送请求之前请在发布商帐户中设置您的登录管理器项目。

The full list of IP addresses that login.xsolla.com may use:

• 34.94.0.85
• 34.94.14.95
• 34.94.25.33
• 34.94.115.185
• 34.94.154.26
• 34.94.173.132
• 34.102.48.30
• 35.235.99.248
• 35.236.32.131
• 35.236.35.100
• 35.236.117.164

您可以下载两种格式的API定义：

• YAML
• JSON

您可以在发布商帐户中访问以下登录管理器项目类型：

• 标准登录管理器项目
• 影子登录管理器项目

关于它的详细信息请参阅跨平台帐户功能。

Are the restrictions applied by Xsolla API on the frequency of access by a user within a defined timeframe.

用于存储主帐户的登录管理器项目。

用于存储平台帐户的登录管理器项目。

一种在标准登录管理器项目中创建的且关联了平台帐户的帐户类型。主帐户用于在不同平台上识别玩家。

一种在影子登录管理器项目中创建的且关联了指定发布平台的帐户类型。一个平台帐户不能关联其他平台帐户。另外，不能解除帐户与主帐户的关联。

用于分发游戏的游戏平台（例如Steam、PlayStation、Xbox等）。

Login API支持以下令牌类型：

• 用户令牌。用于向以下用户资源发送请求：
  • 个人资料
  • 好友
  • 属性
• 服务器令牌。用于向应用程序资源（如设置或用户数据）发送请求。有以下请求可用：
  • 创建平台帐户
  • 获取用户数据
  • 关联帐户
  • 通过外部ID关联用户帐户

您可以按照身份认证机制来判断一个API调用属于客户端侧还是服务器侧：

• Client-side — are called without authentication or with the Authorization header: Bearer <user_JWT> header, where <user_JWT> — is the user token.
• Server-side API calls for implementing the user flow — are called with the header: X-SERVER-AUTHORIZATION: <server_JWT>, where <server_JWT> — is the server token.

要获取令牌，请发送以下请求之一：

• 用户注册（JWT或OAuth 2.0）
• 通过用户名和密码进行认证（JWT、OAuth 2.0或通过用户名和密码进行JWT认证）
• 通过社交网络进行认证（JWT或OAuth 2.0）
• 静默认证（JWT或OAuth 2.0）
• 通过社交网络访问令牌进行认证
• 通过发布平台进行认证

JWT认证后，用户将重定向到在查询参数中包含令牌的回调URL：<Callback URL>?token=<User token (JWT)>。

进行基于OAuth 2.0协议的认证后，请将生成JWT请求发送给艾克索拉登录管理器服务器来用收到的code交换用户令牌(access_token)。

要获取服务器令牌：

1. 设置服务器OAuth 2.0 客户端。
2. 生成服务器JWT。

设置服务器OAuth 2.0客户端

1. 在发布商帐户中打开您的项目，然后前往登录管理器部分。
2. 在登录管理器项目的面板中单击配置。
3. 前往安全性区块并选择OAuth 2.0部分。
4. Click Add OAuth 2.0 Client.
5. 勾选服务器（服务器对服务器连接）复选框。
6. 指定令牌有效期。
7. 单击连接。
8. 复制并保存客户端ID和密钥。

生成服务器JWT

在应用程序的后端，实现使用生成JWT API调用获取服务器JWT的方法。请求必须包含以下参数：

• grant_type is the type of getting JWT, pass the client_credentials value.
• client_secret is the secret key that is received when you set up the server OAuth 2.0 client.
• client_id is the client ID received when you set up the server OAuth 2.0 client.

To prevent Xsolla system overloads and protect against sudden spikes in incoming traffic, Xsolla limits the number of requests received by the Xsolla API within a specified period of time. If the limit is exceeded, the Xsolla API returns an HTTP response with the 429 status code.

Rate limits vary by method, IP-address, authentication scheme, and other factors.

Rate limits for server-side methods are applied to methods with server-side authentication — methods that are called with the X-SERVER-AUTHORIZATION: <server_JWT> header, where <server_JWT> is the server token.

Rate limits for client-side methods are applied to methods without authentication or with client-side authentication — methods that are called with the Authorization: Bearer <user_JWT> header, where <user_JWT> is the user token.

Example of a method with server-side authentication: Example of a method with client-side authentication:

Rate limits for client-side methods do not change and are necessary to prevent brute-force attacks. The maximum request rate for server-side methods is higher than for client-side methods. You can refer to the recommendations on how to manage rate limits in the documentation.

每个密钥都一个JWT格式，并在负载中包含固定的信息。

用户JWT是作为身份认证或注册结果收到的一个令牌。令牌负载包含关于用户和认证调用的信息。

通过OAuth 2.0协议获取用户令牌需要OAuth 2.0客户端。用户令牌在Authorization: Bearer <JWT>头中传入。

身份认证或邮箱地址确认后，令牌会包含主要声明。这些声明的存在不依赖于用户数据库和认证调用。

如果使用PlayFab存储，身份认证后包含在令牌中的声明如下。

如果使用自定义存储，身份认证后包含在令牌中的声明如下。

通过社交网络进行认证后包含在令牌中的声明如下。这些声明的存在不依赖于用户数据库。

OAuth 2.0认证后包含在令牌中的声明如下。

通过手机号码进行认证后包含在令牌中的声明如下。

服务器令牌在X-SERVER-AUTHORIZATION头中传入。

令牌负载包含OAuth 2.0客户端拥有的资源的信息。令牌可以访问对这些资源有基于服务器认证的调用。

To validate the JWT, use the following Login API calls:

• User JWT validate — for a user token.
  • Server JWT validate — for a server token.

Refer to the documentation for information about Xsolla Login API errors.