Аутентификация по паролю, логину и challenge* через API(passport.yandex.ru)

[andronix1]

1. Получаем csfr_token и process_uuid из страницы HTML
GET https://passport.yandex.ru/am?app_platform=android
2. Получаем tracks id и проверяем имя пользователя
POST https://passport.yandex.ru/registration-validations/auth/multi_step/start
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• process_uuid: пункт 1
• login: имя пользователя
• app_platform: у меня работает только с "android"

Ответ (json):
Если верно:

• is_rfc_2fa_enabled: двухфакторная аутентификация. Не разобрана здесь. Скорее всего включена в challenge
• track_id: id трека, потребуется позже
• can_authorize: true
• auth_methods: доступные методы. Из приложения: magic_link, neo_phonish_restore, otp(не знаю), password, sms_code, social_fb(facebook), social_gg(google), social_mr(mail ru), social_ok(odnoklassniki), social_tw(twitter), social_vk(vk)
• preferred_auth_method: предпочитаемый метод из auth_methods
  Если неверно:
• can_register: true

3. Проверяем пароль
POST https://passport.yandex.ru/registration-validations/auth/multi_step/commit_password
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• password: пароль

Ответ (json):
Если верно:

• status: ok
• state: auth_challenge, если нужно подтвердить пароль. Если не надо, то параметр state отсутствует

4. challenge
В данном случае подтверждение телефона
4.1. POST https://passport.yandex.ru/registration-validations/auth/challenge/submit
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
  Ответ (json):
• challenge:
• • challengeType: тип. В данном случае phone_confirmation(в приложении вроде только он и есть)
• • hint: телефон с замазанными цифрами
• • fieldValue: у меня пусто
• • errorText:
• • errorCode:
• • isSms2faChallenge: двухфакторная аутентификация или просто проверка телефона
• • phoneId: цифровой id телефона. Потребуется позже

4.2. POST https://passport.yandex.ru/registration-validations/auth/validate_phone_by_id
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• phoneId: пункт 4.1
  Ответ (json):
• valid_for_call:
• valid_for_flash_call:
• id: нигде больше не нужен

4.3. POST https://passport.yandex.ru/registration-validations/phone-confirm-code-submit
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• phoneId: пункт 4.1
• confirm_method: by_sms. Из приложения: by_call, by_flash_call
  Ответ (json):
• deny_resend_until: int
• code_length: количество цифр в коде
• global_sms_id: нигде не фигурирует. Даже в приложении
• number: номер телефона в различных форматах
• • masked_e164: "+7xxx*****xx",
• • masked_original: "+7xxx*****xx",
• • masked_international: "+7 xxx *--xx"
• track_id: дубликат(2)
• id: дубликат(4.2)
• now: timestamp текущего времени в формате str

4.4. POST https://passport.yandex.ru/registration-validations/phone-confirm-code
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• code: код из sms сообщения
  Ответ (json):
• number: номер телефона в различных форматах(см п. 4.3)
• id: дубликат(см п. 4.3)

4.5. POST https://passport.yandex.ru/registration-validations/auth/challenge/commit
Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• challenge: тип. Берётся из п. 4.1(challenge.challengeType)

5. Не знаю, обязательно ли. У меня работает без него
GET https://passport.yandex.ru/auth/finish/?track_id=43ba9a40a5639d48ba60707186c86afe7a

6. Получение токена
POST https://mobileproxy.passport.yandex.net/1/bundle/oauth/token_by_sessionid
Тело запроса (form-urlencoded):

• client_id: c0ebe342af7d48fbbbfcf2d2eedb8f9e
• client_secret: ad0a908f0aa341a182a37ecd75bc319e
• track_id: пункт 2
  Также надо указать в headers:
• ya-client-host: passport.yandex.ru
• ya-client-cookie: cookie Session_id из passport.yandex.ru
  Ответ (json):
• access_token: токен
• token_type: bearer
• expires_in: когда истекает

[andronix1]

Поправка:
Токен в другом виде. Для его получения надо:
7. POST https://mobileproxy.passport.yandex.net/1/token?app_platform=android
Тело запроса (form-urlencoded):
client_id: 23cabbbdc6cd418abb4b39c32c41195d // ОТЛИЧАЕТСЯ ОТ ПУНКТА 6
client_secret: 53bc75238f0c4d08a118e51fe9203300 // ОТЛИЧАЕТСЯ ОТ ПУНКТА 6
access_token: пункт 6
grant_type: x-token
В headers не надо указывать куки, как в пункте 6
Ответ (json):
access_token: токен
token_type: bearer
expires_in: когда истекает
uid: id пользователя

[andronix1]

Не требует User-Agent или x-yandex-music-client для работы

[Mezigore]

4.3. POST https://passport.yandex.ru/registration-validations/phone-confirm-code-submit Тело запроса (form-urlencoded):

• csrf_token: пункт 1
• track_id: пункт 2
• phoneId: пункт 4.1
• confirm_method: by_sms. Из приложения: by_call, by_flash_call

403 Forbidden - в чем может быть дело. все до этого момента работало. запрашиваю by_sms

До этого приходило

challenge: {
challengeType: "mobile_id",
availableChallenges: [mobile_id, phone_confirmation]

может в этом дело?

[andronix1]

@Mezigore
Возможно я уже поздно, но на всякий случай отвечу :)
Возможно изменён способ дополнительной аутентификации на аккаунте. У меня вроде пока всё работает.
Можно посмотреть трафик в https://passport.yandex.ru/auth. Это ссылка, по которой работает аутентификация в приложении

[MarshalX]

Спасибо!

Все варианты с получением токена были вынесены в отдельный репозиторий https://github.com/MarshalX/yandex-music-token

Мы можем сконвертировать данное issue в обсуждение. В рамках этой библиотеки реализовано не будет