solo12345689/Shortcat-Anime-internal-api

# Shortcat 动漫应用分析与反编译 针对 **Shortcat** 移动应用的深度技术分析与逆向工程项目。本仓库包含反编译的源代码文件（通过 JADX 和 Apktool）、静态分析日志、API 映射、安全架构报告以及内容保护发现。 ## 📂 仓库结构 - [app-jadx/](./app-jadx) — 通过 JADX 反编译输出的 Java 源代码。 - [shortcat_decoded-apktool/](./shortcat_decoded-apktool) — 通过 Apktool 还原的 Smali 资源和 asset 目录。 - [com.flagcat.shortcat-apkleaks.txt](./com.flagcat.shortcat-apkleaks.txt) — 端点映射、内嵌的 API key 和机密字符串扫描结果。 - [OFFICIAL_API_DOCUMENTATION.md](./OFFICIAL_API_DOCUMENTATION.md) — 详尽的逆向工程规格说明，编目了每个端点、认证 schema 和数据模型。 ## 🔍 关键发现摘要 ### 1. 技术栈 - **框架**：使用 React Native (Expo SDK 55) 和 Expo Router。 - **状态管理**：Zustand 和 React Query hooks (`useFeedItems`, `useSeriesDetail`)。 - **遥测**：原生集成了 PostHog 和 Sentry SDK。 ### 2. 视频流媒体与上传 - **流媒体流水线**：托管在 Cloudflare R2 (`*.r2.dev`) 上的 HLS (HTTP Live Streaming，通过 `.m3u8` 播放列表) 以及 MP4 回退方案。 - **上传功能**：为用户提供的功能中**没有客户端视频上传功能**。唯一的上传端点仅保留用于个人资料配置 (`POST /api/v1/profile_picture`)。 - **DRM**：HLS 流上未实施有效的数字版权管理加密 (Widevine/FairPlay)。 ### 3. 视频与内容保护 - **CORS 限制**：asset bucket 实施了严格的 `Referer` 限制，要求请求必须源自应用域名 (`https://www.getshortcat.com/` 或 `android-app://com.flagcat.shortcat`)。 - **原生屏蔽**：通过在模态窗口渲染时应用 Android 原生的 `WindowManager.LayoutParams.FLAG_SECURE` (`8192`) 布局参数，屏蔽了屏幕录制、屏幕截图和屏幕投射。 ### 4. 认证流水线 - 使用无头 (headless) **Ory Kratos** 服务器 (`https://auth.k.prod.sinj.net`) 进行编排。 - 支持基于凭证的认证、SSO 交换 (Google 和 Apple ID token 交换) 以及验证码 (OTP) 动态。不存在电话号码或短信验证。 ### 5. 订阅验证 - 订阅验证和 VIP 权益通过 **RevenueCat SDK** 处理： `GET https://api.revenuecat.com/v1/subscribers/{appUserID}` ## 📖 访问详细规格说明 有关端点、请求 schema、payload、header、安全模型和代码路径的完整文档，请查看： 👉 **[OFFICIAL_API_DOCUMENTATION.md](./OFFICIAL_API_DOCUMENTATION.md)**

标签：API安全, HLS流媒体, JSON输出, React Native, 安全专业人员, 情报收集, 漏洞研究, 移动应用安全, 逆向分析