以前写过一篇文章，使用快捷指令实现将健身记录同步到博客的个人状态中。

Not support render this content in RSS render

但是实际上用下来感觉非常的难受，一方面由于快捷指令太长了，一旦需要对其中部分的信息进行调整，操作会非常非常的麻烦；另一方面，苹果的自动化并没有固定时间自动执行的选项，为了覆盖一整天的定时同步，需要创建五六个自动化任务。整体显得非常笨重且繁琐。所以在过年的这段时间写了一个应用，使用 HKObserverQuery + 小组件定时任务来实现数据的后台自动推送。

::: masonry :::

但由于我使用的是免费的苹果开发者账户，只能将应用手动打包为 ipa 文件，然后通过 SideStore 进行安装。导致即使声明了 HealthKit entitlements，安装后也不会弹出健康数据授权页面，也就无法访问任何健康数据。网上找了一圈也没什么好的解决方案，一度以为只能每周连接 Xcode 重新构建到手机来给应用续命了。

后面无意中翻到 Reddit 的这个 帖子 ，评论区里有人提到一个思路：通过修改应用的 Bundle ID，让它使用另一个已经存在 App ID 来通过替身的方式绕开 App ID 未过期导致无法安装新应用的问题。

经过尝试，这个方法也适用于解决通过 SideStore 安装的应用无法弹出健康数据授权的问题。具体做法是：通过将 Xcode 项目里的 Bundle ID 改成与最初通过 SideStore 安装该应用时相同的 App ID，然后在 Xcode 里连接真机运行一次，让 Xcode 给这个 App ID 注册 HealthKit capability ，这时候打开应用就可以正常弹出健康数据授权页面并且完成数据的授权。

最后将应用重新构建为 ipa，再用 SideStore 安装后，就能在已授权状态下访问到 HealthKit 数据。这种方法可以在一定程度上绕开苹果免费开发者账户侧载应用不弹授权页面的限制。

当然通过这种方式完成的授权能否长期保持还有待进一步观察。如果后续有新的结果，我会再更新。 该方法确认可以长期使用。

今天《明日方舟：终末地》正式开启公测了。抽空体验了一段时间之后，想着将抽卡数据导入进我自己的抽卡分析应用中。但是可能是游戏刚开服的缘故，找了一轮都没能找到导出抽卡数据的工具，最终只能自己动手实现这个功能。下面分享主要思路，如果你需要实现这个功能希望对你有所帮助。

URL 里都有什么

首先，和其他游戏一样，我们可以通过抓包软件抓取这样的抽卡记录链接：

https://ef-webview.hypergryph.com/api/record/char?lang=zh-cn&seq_id={seqId}&pool_type={poolType}&token={token}&server_id={serverId}

角色池

针对角色池，我们主要关注 pool_type 和 seq_id 这两个参数：

pool_type 是卡池枚举值，目前仅能取如下卡池之一：

• 启程寻访（新手池）：E_CharacterGachaPoolType_Beginner
• 基础寻访（常驻池）：E_CharacterGachaPoolType_Standard
• 特许寻访（限定池）：E_CharacterGachaPoolType_Special

而与原神，鸣潮等游戏不同，终末地的抽卡记录链接通常带有 seq_id 参数。

// seq_id=26&pool_type=E_CharacterGachaPoolType_Standard
{
  "code": 0,
  "data": {
    "list": [
      //...
      {
        "poolId": "standard",
        "poolName": "基础寻访",
        "charId": "chr_0019_karin",
        "charName": "秋栗",
        "rarity": 4,
        "isFree": false,
        "isNew": false,
        "gachaTs": "1769073164712",
        "seqId": "21"
      }
    ],
    "hasMore": false
  },
  "msg": ""
}

// pool_type=E_CharacterGachaPoolType_Beginner
{
  "code": 0,
  "data": {
    "list": [
      {
        "poolId": "beginner",
        "poolName": "启程寻访",
        "charId": "chr_0022_bounda",
        "charName": "萤石",
        "rarity": 4,
        "isFree": false,
        "isNew": false,
        "gachaTs": "1769072324787",
        "seqId": "20" //该卡池最新的抽卡记录
      },
      // ...
    ],
    "hasMore": true
  },
  "msg": ""
}

通过观察上面两个不同卡池的记录，我们可以发现 seq_id 参数的一些特征：

1. seq_id (seqId) 是一个 账号级的、跨子卡池的、不同类型卡池互相独立的 递增序号，所有角色子卡池的抽卡记录共享同一条 seq_id (seqId) 序列，而武器子卡池的抽卡记录共享另一条 seq_id (seqId) 序列。在同一卡池类型（所有角色池或者所有武器池）下，即使我们更换子卡池的类型也不会让 seq_id (seqId) 重新开始计数。
2. seq_id (seqId) 数字越大，时间越晚、数据越新。
3. 当请求的链接不带 seq_id 参数的时候会返回该卡池最新的五条记录（即 seqId 最大的五条记录）。

根据这些特征我们可以知道：在游戏里的抽卡记录展示页中，我们从第一页开始往后翻（从新记录到旧记录）的过程就是抽卡记录链接 seq_id 参数递减的过程。

在链接返回的抽卡记录中，还会带有一个 hasMore 参数。其代表的是当前返回结果的最小 seqId 之下是否还有数据，反映的是是否还能翻下一页。

武器池

武器池的 API 与角色池有所不同。武器池需要通过两个 API 来获取数据：

获取武器池列表

首先需要通过下面的链接获取用户存在抽卡记录的武器池列表：

https://ef-webview.hypergryph.com/api/record/weapon/pool?lang=zh-cn&token={token}&server_id={serverId}

返回的数据结构：

{
  "code": 0,
  "data": [
    { "poolId": "weponbox_1_0_1", "poolName": "熔铸申领" },
    { "poolId": "weaponbox_constant_2", "poolName": "星声申领" }
    // ...
  ],
  "msg": ""
}

这里可以看到武器池分为两种类型：

• 武器限定池：poolId 格式为 weponbox_*（如 weponbox_1_0_1），对应当期 UP 武器
• 武器常驻池：poolId 格式为 weaponbox_constant_*（如 weaponbox_constant_2）

题外话：这里有意思的是武器限定池的 poolId 的前缀拼写错误为了 wepon，不知道是不是历史遗留问题。

获取武器抽卡记录

获取具体武器池的抽卡记录链接与角色池抽卡记录链接格式有所不同，武器池的抽卡记录链接将 pool_id 参数代替了 pool_type 参数：

https://ef-webview.hypergryph.com/api/record/weapon?lang=zh-cn&seq_id={seqId}&pool_id={poolId}&token={token}&server_id={serverId}

其返回的数据结构为：

{
  "code": 0,
  "data": {
    "list": [
      {
        "poolId": "weponbox_1_0_1",
        "poolName": "熔铸申领",
        "weaponId": "wpn_funnel_0010",
        "weaponName": "骑士精神",
        "weaponType": "E_WeaponType_Wand",
        "rarity": 6,
        "isNew": true,
        "gachaTs": "1769238381938",
        "seqId": "47"
      },
      // ...
    ],
    "hasMore": true
  },
  "msg": ""
}

武器记录的字段与角色记录略有不同：

• weaponId：武器 ID
• weaponName：武器名称
• weaponType：武器类型（E_WeaponType_Sword、E_WeaponType_Wand 等）

武器池的 seq_id 特性与角色池相同，所有武器子卡池共享同一条 seqId 序列。

至此，我们已经基本搞清楚了《明日方舟：终末地》抽卡记录链接的逻辑。

主要思路

根据上面的介绍，我们能构想出通过一个有效的终末地抽卡记录链接来获取全部卡池所有记录的方法：

角色池

1. 首先带上随便一个卡池的 pool_type，并且不带 seq_id 发起一次请求，获取该卡池最大 seqId 的最新的抽卡记录。
2. 后续使用返回数据中最小 seqId 作为游标，遍历该卡池的所有记录，直至后续抽卡数据被服务器清理或着到了该卡池的第一次抽卡 hasMore === false 停止。
3. 切换为另一个卡池的 pool_type，继续重复第一步的操作即可。

武器池

1. 首先调用武器池列表 API 获取用户有数据的武器池。
2. 遍历每个武器池，使用 pool_id 参数获取记录。
3. 根据 poolId 判断卡池类型：包含 constant 的为常驻池，否则为限定池。

代码实现

// 获取角色池记录
async function fetchCharacterRecords(token: string, serverId: string) {
  const poolTypes = [
    "E_CharacterGachaPoolType_Beginner",
    "E_CharacterGachaPoolType_Standard",
    "E_CharacterGachaPoolType_Special",
  ];
  const allRecords = [];

  for (const poolType of poolTypes) {
    let cursor = null;
    let hasMore = true;

    while (hasMore) {
      const seqIdParam = cursor !== null ? `&seq_id=${cursor}` : "";
      const url = `https://ef-webview.hypergryph.com/api/record/char?lang=zh-cn${seqIdParam}&pool_type=${poolType}&token=${encodeURIComponent(token)}&server_id=${serverId}`;
      
      const response = await fetch(url);
      const { data } = await response.json();

      if (data?.list?.length > 0) {
        allRecords.push(...data.list);
        hasMore = data.hasMore;
        
        if (hasMore) {
          const seqIds = data.list.map(item => Number(item.seqId));
          cursor = Math.min(...seqIds);
          await new Promise(resolve => setTimeout(resolve, 300));
        }
      } else {
        hasMore = false;
      }
    }
  }

  return allRecords;
}

// 获取武器池记录
async function fetchWeaponRecords(token: string, serverId: string) {
  const allRecords = [];
  const poolListUrl = `https://ef-webview.hypergryph.com/api/record/weapon/pool?lang=zh-cn&token=${encodeURIComponent(token)}&server_id=${serverId}`;
  const poolListResponse = await fetch(poolListUrl);
  const { data: weaponPools } = await poolListResponse.json();

  if (!weaponPools?.length) return allRecords;

  for (const pool of weaponPools) {
    let cursor = null;
    let hasMore = true;

    while (hasMore) {
      const seqIdParam = cursor !== null ? `&seq_id=${cursor}` : "";
      const url = `https://ef-webview.hypergryph.com/api/record/weapon?lang=zh-cn${seqIdParam}&pool_id=${pool.poolId}&token=${token}&server_id=${serverId}`;
      
      const response = await fetch(url);
      const { data } = await response.json();

      if (data?.list?.length > 0) {
        allRecords.push(...data.list);
        hasMore = data.hasMore;
        
        if (hasMore) {
          const seqIds = data.list.map(item => Number(item.seqId));
          cursor = Math.min(...seqIds);
          await new Promise(resolve => setTimeout(resolve, 300));
        }
      } else {
        hasMore = false;
      }
    }
  }

  return allRecords;
}

这样我们就实现了获取《明日方舟：终末地》的全部卡池所有记录。

【 战斗速报！】 各位早上好 中午好 晚上好，从前天开始持续遭遇多个脚本的恶意攻击。今天早上到达了小高峰，几小时就受到了 20w+ 的恶意请求，已经刷掉近 10GB 的流量。目前已经将这些 IP 段拉入黑名单：

182.34.4.0/24
180.119.118.0/23
140.75.192.0/24
121.233.200.0/24
61.147.92.0/24
120.238.245.0/24
58.222.45.0/24
218.90.199.0/24

由于这些请求基本上是每 5 分钟消耗 100 MB 左右的流量，所以并没有触发 CDN 设置的 5 分钟 200MB 封顶限制，加上周末早上在睡大觉，导致本月的 CDN 免费额度已经被消耗了一半以上

如果后续继续被攻击到 CDN 免费额度耗尽，会将境内的流量全部解析到境外的线路躲一阵子，届时会出现不限于网站打开时间大幅拉长，部分地区无法访问等情况，请各位谅解。

最后请脚本大佬手下留情

后续

鉴于恶意攻击仍在零星持续，目前已经着手编写并且启用了自动检测并更新 CDN 黑名单的脚本，这次大概能睡一个好觉了。

前言

在 Shiro 主题中有一个 「个人状态展示」 功能，可以展示一些自定义的状态。

为了充分利用这个功能，想将手机的健身圆环的数据同步展示在个人状态里，效果如下：

最初计划通过编写 JavaScript 脚本并借助 Scriptable 应用来实现这个想法。然而经过尝试后发现，Scriptable 并不支持 HealthKit，从而无法获取到健康数据。在苹果设备上，应用需要通过 HealthKit 的 API 才能访问健康数据，而 Scriptable 曾尝试集成 HealthKit但是被苹果商店拒绝。所以只能退而求其次，使用苹果自带的快捷指令来实现这一功能。

2026.3.1 更新，由于快捷指令的限制太多，目前已经更换为自己编写的 App + SideStore自签来实现自动推送

状态展示的设置

通过手动设置个人状态展示，可以在控制台中看到页面通过 POST 的方式向 https://{后端服务器}/api/v2/serverless/shiro/status 发送了一个请求：

请求的请求体包含下面这样格式的 JSON：

{
    "emoji": "😴", // 头像右下角的 Emoji
    "desc": "消耗0千卡能量 锻炼0分钟 站立0小时", // 展开后的描述
    "ttl": 60 // 状态的持续时间，单位为秒
}

为了完成更新个人状态的操作，需要先获取访问令牌并且构建请求头 Authorization: bearer {token} 用于验证用户权限。

访问令牌有两种获得方法，第一种是每次设置状态前先发起一次登录请求，在登录请求返回的 JSON 里就能获得一个 xxxxx.xxxxxxxx 格式的访问令牌。

另一种是通过在后台 设定 -> 安全 -> API Token 里新建一个 xxxxxxxxxxxxxx 格式的访问令牌，这里推荐这种方式。

拿到访问令牌后，控制台里验证一下：

const token = "xxxxxxxxx";
fetch("https://server.vinking.top/api/v2/serverless/shiro/status", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
    Authorization: token,
  },
  body: JSON.stringify({
    emoji: "✌️",
    desc: "测试",
    ttl: 60,
  }),
})
  .then((response) => {
    if (response.ok) {
      return response.text().then(() => {
        console.log(`用户状态设置成功，状态码: ${response.status}`);
      });
    }
  })
  .catch((error) => console.error("用户状态设置错误:", error));

成功设置状态。

设计快捷指令

要实现自动同步健康数据到个人状态展示，需要设计一个能获取健康数据、构建请求并调用 API 的快捷指令，设计思路如下：

Not support render this content in RSS render

在将流程图转换为快捷指令的过程中有几个需要注意的坑：

1. 如果某类数据当天没有记录（如未锻炼），快捷指令会返回空值而不是 0。需要提前设置一个初始值 0 以避免后续拼接描述文本出现问题。
2. 如果想要数据与苹果健康的健身记录面板数据一致，需特别注意「站立 x 小时」（Stand Hours）的统计方式。它反映的是达标次数，而非实际站立时长。其计算逻辑为：每个小时内，只要累计站立时间达到或超过 1 分钟，即算作 1 小时达标。例如，08:00 - 08:01 站立，09:30 - 09:31 站立，会被记录为 2 小时达标。相比之下，快捷指令获取的「站立分钟数」（Stand Time）是每次站立的实际分钟数。因此，若要统计「站立 x 小时」，需通过计数的方式统计每小时是否达标，而非直接累加站立分钟数。使用指令表达如下：

3. 当接口成功设置状态时，仅返回 204 状态码且不返回任何内容，加上快捷指令本身不支持直接对 HTTP 状态码进行详细判断，因此只能通过判断返回文件的大小是否为 0 来确认设置是否成功。

由于快捷指令太长了，所以放快捷指令。

快捷指令完整流程如下（超级长图警告）：

前两个月由于腾讯云 CDN 不支持欠费立刻暂停服务换到了多吉云 CDN。

目前 宝塔/1Panel 的免费 SSL 证书都只有 90 天的有效期，虽然可以自动续签，但是续签后还是需要频繁手动更新 CDN 的证书，非常麻烦。

好在多吉云提供了对应的 API，使得我们可以通过脚本的方式自动实现同步 SSL 证书到多吉云 CDN。

功能

• 🔑 动态生成多吉云 API 访问令牌
• 📤 一键式证书上传与管理
• 🌐 多域名智能证书绑定
• 🗑️ 旧证书清理功能（可选）
• ⏰ 无缝衔接 Let's Encrypt 自动续期
• ✅ 双平台支持（宝塔/1Panel）

Not support render this content in RSS render

快速开始

1. 获取多吉云 API 密钥：
   • 登录多吉云控制台
   • 进入「用户中心」→「密钥管理」
   • 创建新密钥对
2. 确认证书路径：
   • 宝塔面板：/www/server/panel/vhost/ssl/域名目录/
   • 1Panel 可跳过

配置指南

编辑脚本中的以下参数：

# 多吉云 AccessKey 和 SecretK
ACCESS_KEY="your_access_key_here"   # 替换为你的AccessKey
SECRET_KEY="your_secret_key_here"  # 替换为你的SecretKey

# 证书路径配置
FULLCHAIN_PATH="/path/to/fullchain.pem"  # 全链证书路径
PRIVKEY_PATH="/path/to/privkey.pem"      # 私钥路径

# 域名配置
DOMAINS=("example.com" "cdn.example.com" "www.example.com")  # 需要绑定的域名列表

# 旧证书处理策略
DELETE_OLD_CERT=false  # true=自动删除旧证书 | false=保留历史证书

部署指南

1Panel

1. 进入证书管理界面

2. 创建/编辑证书：

   • 启用「自动续签」
   • 启用「推送证书到本地目录」
   • 选择目录
   • 启用「申请后执行脚本」
   • 粘贴本脚本内容
   • 修改证书路径为：

   # 证书路径
   FULLCHAIN_PATH="./fullchain.pem"
   PRIVKEY_PATH="./privkey.pem"
   

宝塔

1. 创建定时任务：
   • 任务类型：Shell 脚本
   • 任务名称：随意
   • 执行周期：每月 1 号 01:30 执行一次
   • 执行用户：root
   • 脚本内容：粘贴本脚本内容

2. 配合自动续签 Let’s Encrypt 证书定时任务 /www/server/panel/pyenv/bin/python /www/server/panel/class/acme_v2.py –renew=1 理论上可以实现放养多吉云 CDN 的证书。

保存后执行一次任务，如果显示下面信息即已经完成证书的同步：

证书上传成功！
证书ID：12345
证书已成功绑定到 www.vinking.top
证书已成功绑定到 vinking.top
证书ID 12344 删除成功。
----------------------------------------------------------------------------
★[2024-12-26 16:01:29] Successful
----------------------------------------------------------------------------

代码思路

获取密钥 & 生成 AccessToken

多吉云的 API 具有验证机制，使用前需要在控制台的 密钥管理 获取 AccessKey 以及 SecretKey，然后根据 AccessKey 和 SecretKey生成 AccessToken 。

AccessToken 的生成过程是将请求地址和请求内容拼接后，使用 SecretKey 进行 HMAC-SHA1 加密，然后将得到的加密值与 AccessKey 用冒号连接起来。具体的生成算法可以参考文档 验证机制 。

# 多吉云 AccessKey 和 SecretKey
ACCESS_KEY="xxxx"
SECRET_KEY="xxxxxx"

function generateAccessToken() {
    local apiPath="$1"
    local body="$2"
    local signStr=$(echo -e "${apiPath}\n${body}")
    local sign=$(echo -n "$signStr" | openssl dgst -sha1 -hmac "$SECRET_KEY" | awk '{print $NF}')
    local accessToken="$ACCESS_KEY:$sign"

    echo "$accessToken"
}
 

生成了 AccessToken 后，只需要在请求头中加上 Authorization: TOKEN <AccessToken> 即可通过验证。

找到宝塔的域名证书 & 上传证书

在 /www/server/panel/vhost/ssl/ 目录下，可以找到宝塔所有以域名命名的文件夹，文件夹内包含这个域名对应的完整证书链 fullchain.pem 以及私钥 privkey.pem。

这里推荐给域名及其所有子域名使用同一个泛域名证书，可以实现一次性将域名及其所有子域名完成证书同步。

以域名 vinking.top 为例，完整证书链文件和私钥文件的目录如下：

FULLCHAIN_PATH="/www/server/panel/vhost/ssl/vinking.top/fullchain.pem"
PRIVKEY_PATH="/www/server/panel/vhost/ssl/vinking.top/privkey.pem"

获取到域名证书后，需要通过 POST 的方式向 https://api.dogecloud.com/cdn/cert/upload.json 提交证书内容。上传成功后需要获取证书 ID，以便将刚才上传的证书绑定到域名。

参考文档 上传证书 、 绑定证书 。

# 宝塔面板 Let's Encrypt 证书路径
FULLCHAIN_PATH="/www/server/panel/vhost/ssl/vinking.top/fullchain.pem"
PRIVKEY_PATH="/www/server/panel/vhost/ssl/vinking.top/privkey.pem"

# 证书备注名
CURRENT_DATE=$(date +"%y/%m/%d")
NOTE="Certificate $CURRENT_DATE"

# 需要绑定的域名列表
DOMAINS=("xxxxx.com" "cdn.xxxxx.com" "www.xxxxx.com")

# 上传证书到多吉云
function uploadCert() {
    local note="$1"
    local certFile="$2"
    local privateKeyFile="$3"
    local certContent=$(<"$certFile")
    local privateKeyContent=$(<"$privateKeyFile")
    local encodedCert=$(echo "$certContent" | jq -sRr @uri)
    local encodedPrivateKey=$(echo "$privateKeyContent" | jq -sRr @uri)
    local body="note=$note&cert=$encodedCert&private=$encodedPrivateKey"
    local accessToken=$(generateAccessToken "/cdn/cert/upload.json" "$body")
    local response=$(curl -s -X POST "https://api.dogecloud.com/cdn/cert/upload.json"  \
         -H "Authorization: TOKEN $accessToken" \
         -H "Content-Type: application/x-www-form-urlencoded" \
         --data "$body")

    local code=$(echo "$response" | jq -r '.code')

    if [ "$code" -eq 200 ]; then
        echo "证书上传成功！"
        local certId=$(echo "$response" | jq -r '.data.id')
        echo "证书 ID：$certId"
        bindCert "$certId"
    else
        local errMsg=$(echo "$response" | jq -r '.msg')
        echo "证书上传失败，错误代码：$code，错误信息：$errMsg"
    fi
}

# 绑定证书
function bindCert() {
    local certId="$1"
    local responses=()

    for domain in "${DOMAINS[@]}"; do
        (
            local body="id=$certId&domain=$domain"
            local accessToken=$(generateAccessToken "/cdn/cert/bind.json" "$body")
            local response=$(curl -s -X POST "https://api.dogecloud.com/cdn/cert/bind.json"  \
                 -H "Authorization: TOKEN $accessToken" \
                 -H "Content-Type: application/x-www-form-urlencoded" \
                 --data "$body")
            local code=$(echo "$response" | jq -r '.code')

            if [ "$code" -eq 200 ]; then
                echo "证书已成功绑定到 $domain"
            else
                local errMsg=$(echo "$response" | jq -r '.msg')
                echo "绑定证书到 $domain 失败，错误代码：$code，错误信息：$errMsg"
            fi
        ) &
    done

    wait
}

最终还是决定去珠海旅游了。

5 号

早上打顺风车出发，以为 5 号人会比较少，两个多小时应该能到了，没想到早上八点上车下午两点才到，果断给回程买了高铁票。

下午到酒店整理完后就去「爱情邮局」那边拍照，不得不说国庆是真的多人啊，路上堵车，到了也堵人，再加上早上坐车坐得整个人都懵懵的，所以基本上都在吃吃吃。

6，7 号

6 号的时候长隆的酒店就恢复到正常价格了，所以就订了长隆的「迎海酒店公寓」，一千两百块钱两张门票 + 一晚酒店 + 早餐自助餐。

酒店到长隆海洋王国大概有三四公里，但是每三十分钟会有一班免费的接驳车送去海洋王国，所以问题不大。

::: masonry :::

临走的时候买了一个小熊挂件、一个小丑企鹅纪念币还有一个能趴在肩上的海豹🦭。

::: masonry :::

该回家上班了

题外话

最近微信推出了发送苹果实况图片的功能， 而 Web 也可以使用苹果提供的 LivePhotosKit 来实现

Not support render this content in RSS render

首先引入 LivePhotosKit JS

<script src="https://cdn.apple-livephotoskit.com/lpk/1/livephotoskit.js"></script>

再创建一个 <div> 元素即可:

<div
    data-live-photo
    data-photo-src="https://..."
    data-video-src="https://..."
    style="width: 320px; height: 320px">            
</div>

其中 data-photo-src 是导出的图片、 data-video-src 是导出的视频。