Epic在线服务 (EOS) 提供多种方式来验证帐户的目录项所有权。首选的方法是通过Ecom Interface使用EOS SDK API。本文是针对那些偏好通过RESTful终端访问所有权信息的标题和服务而提供的。EOS拥有用于直接在线所有权验证的RESTful服务终端,从而创建并验证可在客户端、服务与权利服务之间传递的所有权令牌,进而查询,枚举和使用 权利 记录。
所有权验证所使用的方法取决于具体用例。游戏客户端或游戏服务器可通过直接与我们的终端集成来使用在线方法。所有权验证令牌方法提供令牌,其中包括游戏客户端、用户和授权相关信息以及可供游戏客户端或任何其他服务验证的签名。若与执行所有权验证的第三方服务集成,最好使用所有权验证令牌校验来避免授予它们访问用户数据的权利。
所有权校验将遍历整个结构来确定用户是否有访问给定catalogItemId的权利。权利对于确认已发生的特定交易很有用。例如,若用户购买了含季票的豪华版游戏,而季票本身就包含对DLC1的访问权利,则对于DLC1,所有权校验将返回TRUE,而权利校验将不包含DLC1。
开始前,必须与身份验证服务集成以获得访问令牌。如需与身份验证有关的更多信息,请查看Epic账号服务入门。
直接所有权验证
终端将检查用户是否拥有项或一系列项。
此端点适用于通过SDK 1.5+获取或通过使用配置 'https://api.epicgames.dev/epic/oauth/v1/.well-known/openid-configuration' 实现的OAuth OpenID Connect交换获取的身份验证令牌。
你需要使用Bearer授权在授权标头中传递访问令牌。
此终端支持下列查询参数:
| 参数 | 描述 |
|---|---|
nsCatalogItemId | 使用 {{sandboxId:catalogItemId}} 格式,可重复此参数来检查多个 sandboxId 和 catalogItem 组合。 |
sandboxId | 该参数可用于获取指定沙盒中所拥有的 catalogItemIds 完整列表。 |
以下片段展示了一个用于获取所有权信息的请求示例:
基于令牌的所有权验证
所有权验证令牌是已签署的JWT,有效期为五分钟。它是使用RS512(RSA PKCS#1签名,包含SHA-512,RSA密钥大小2048)签署的。
执行基于令牌的所有权验证包含两个步骤:
-
请求所有权验证令牌
-
用公钥验证令牌是否真实
游戏客户端/服务器获得所有权验证令牌,可将其传递给需执行所有权验证的任何集成。验证令牌的集成需解压缩JWT提取kid(密钥ID),然后获取该密钥ID的公钥来验证签名。
此令牌包含以下声明::
| 声明 | 描述 |
|---|---|
| jti | 此令牌的唯一辨识符。 |
| sub | 用于请求此令牌的帐户的帐户ID。 |
| clid | 用于请求此令牌的客户端的客户端ID。 |
| ent | 针对此令牌验证的一系列权利所有权。若此值为空,则该帐户无权享有请求权利 |
| iat | 令牌发出的时间,使用Unix时间戳。 |
| exp | 令牌到期的时间,使用Unix时间戳。 |
请求所有权验证令牌
要请求所有权验证令牌,客户端将向所有权令牌终端发出HTTP POST请求。
要请求所有权验证令牌的终端为:
需用Bearer授权在授权标头中传递访问令牌。
此终端支持下列请求正文参数:
注意:内容类型需为 "application/x-www-form-urlencoded",且此参数需位于请求正文中。
| 参数 | 描述 |
|---|---|
nsCatalogItemId | 使用 {{sandboxId:catalogItemId}} 格式,可重复此参数来检查多个 sandboxId 和 catalogItem 组合。 |
下列片段展示一个用于获取验证令牌的请求示例:
egoc1~ 为前缀,表示Epic游戏所有权校验。解码令牌时请将其去除。
令牌包括三个base64编码的JSON对象,它们分别对应JWT标头、有效负载和签名。请参见JWT 文档了解详情。
下面是JWT标头示例:
下面是JWT正文示例:
验证所有权验证令牌
要验证令牌中的签名,需获取公钥。要获取密钥,需密钥ID(JWT中的kid声明)。回复将包括JSON Web Key (JWK),可用于验证JWT中的签名。
要请求公钥,客户端/服务将向公钥终端发出HTTP请求。
公钥终端为:
下列片段展示用于获取公钥的请求示例:
直接权利枚举
需获取帐户的直接权利列表时,终端将进行校验。
若只需校验所有权,请使用上文的所有权校验API,Epic推荐此方法。)
需用Bearer授权在授权标头中传递访问令牌。
此终端支持下列查询参数:
| 参数 | 描述 |
|---|---|
sandboxId | 游戏标题的命名空间。 |
entitlementName | 可选。权利的名称。若未提供,将返回 sandboxId 下的所有权利。可重复此参数来校验多个权利。 |
includeRedeemed | 可选。该参数指定了是否包含已经兑换的权利。默认为 false。如果不是 true,返回结果将只包含 未被 兑换的权利。 |
下列片段展示用于获取用户和沙盒的所有权利的请求示例:
基于令牌的权利验证
权利验证令牌是已签署的JWT,有效期为五分钟。它是使用RS512(RSA PKCS#1签名,包含SHA-512,RSA密钥大小2048)签署的。
执行基于令牌的权利验证包含两个步骤:
-
请求权利验证令牌
-
用公钥验证令牌是否真实
游戏客户端/服务器获得权利验证令牌,可将其传递给需执行所有权验证的任何集成。验证令牌的集成需解压缩JWT提取kid(密钥ID),然后获取该密钥ID的公钥来验证签名。
此令牌包含以下声明:
| 权利验证令牌声明 | |
|---|---|
| jti | 此令牌的唯一辨识符。 |
| sub | 用于请求此令牌的帐户的帐户ID。 |
| clid | 用于请求此令牌的客户端的客户端ID。 |
| ent | 针对此令牌验证的一系列权利所有权。若此值为空,则该帐户无权享有请求的权利或者任何用于该 sandboxId 的权利。 |
| iat | 令牌发出的时间,使用Unix时间戳。 |
| exp | 令牌到期的时间,使用Unix时间戳。 |
请求权利验证令牌
要请求权利验证令牌,客户端将向权利令牌终端发出HTTP POST请求。
要请求所有权验证令牌的终端为 https://api.epicgames.dev/epic/ecom/v1/platforms/{platform}/identities/{identityId}/entitlementToken
需用Bearer授权在授权标头中传递访问令牌。
此终端支持下列请求参数:
| 请求参数 | |
|---|---|
sandboxId | 游戏标题的命名空间。 |
entitlementName | 可选。权利的名称。若未提供,将返回 sandboxId 下的所有权利。可重复此参数来校验多个权利。 |
下列片段展示用于获取用户和沙盒的所有权利的请求示例:
注意: egoc1~ 为前缀,表示Epic游戏所有权校验。解码令牌时请将其去除
令牌包括三个base64编码的JSON对象,它们分别对应于JWT标头、有效负载和签名。请参见JWT文档了解详情。
下面是JWT标头示例:
下面是JWT正文示例:
验证权利验证令牌
要验证令牌中的签名,需获取公钥。要获取密钥,需密钥ID(JWT中的kid声明)。回复将包括JSON Web Key (JWK),可用于验证JWT中的签名。
要请求公钥,客户端/服务将向公钥终端发出HTTP请求。
下列片段展示用于获取公钥的请求示例:
查询商品
如需为某个用户请求可用的商品(Offer)列表,客户端需要向商品端点发出一个HTTP GET请求。
在请求由Epic在线服务定义的商品列表时,目标端点如下所示:
该API提供的数据和SDK API EOS_Ecom_QueryOffers 提供的数据相同。请参见EOS API 参考文档,了解更多关于如何使用SDK API的信息。
你需要在使用Bearer验证,在验证标头中传入一个访问令牌。
以下代码演示了如何为某个用户和沙盒请求商品(Offer):
以下是一段服务器响应示例代码(虚拟货币商品):
如何读取 priceInfo 结构体中的货币数据取决于 decimals 字段中的值。如果 decimals 的值为 2 (例如美元、加元、欧元等),则 discountPrice 和 originalPrice 字段的值以“分”表示。所以,如果要将数值转换为美元,请将数值除以100(例如,350就是3.50美元)。
如果 decimals 字段的值可能是 0,(例如日元、韩元等),则其他字段的值就是其指定的货币值。无需任何转换。
取回/使用权利
终端将取回/使用权利。取回权利后,权利状态将更改为未激活。
你需要使用Bearer授权在授权标头中传递访问令牌。
此终端支持下列请求正文:
下列片段展示用于补偿用户和沙盒的多种权利的示例请求: