# 静默活体检测 API 文档

# 接口说明

基于讯飞自研的活体检测算法，针对打印照、屏幕二次翻拍等作弊场景，基于图片中人像破绽及成像畸形，可有效识别目标是否为活体，并给出置信度参考。

该能力是通过HTTP API的方式给开发者提供一个通用的接口。HTTP API适用于一次性交互数据传输的AI服务场景，块式传输。相较于SDK，API具有轻量、跨语言的特点。另外，请注意该接口使用的HTTP API协议不支持跨域。

# 接口Demo

示例demo请点击这里下载。
目前仅提供部分开发语言的demo，其他语言请参照下方接口文档进行开发。
也欢迎热心的开发者到讯飞开放平台社区 (opens new window) 分享你们的demo。

# 接口要求

集成静默活体检测API时，需按照以下要求。

内容	说明
传输方式	http[s] (为提高安全性，强烈推荐https)
请求地址	http[s]: //api.xf-yun.com/v1/private/s67c9c78c 注：服务器IP不固定，为保证您的接口稳定，请勿通过指定IP的方式调用接口，使用域名方式调用
请求行	POST /v1/private/s67c9c78c HTTP/1.1
接口鉴权	签名机制，详情请参照下方鉴权认证
字符编码	UTF-8
响应格式	统一采用JSON格式
开发语言	任意，只要可以向讯飞云服务发起HTTP请求的均可
适用范围	任意操作系统，但因不支持跨域不适用于浏览器
图片格式	jpg/png/bmp
图片大小	base64编码后大小不超过4M
图片要求	清晰的人脸照片，人脸大小不小于30*30像素，其中人脸俯仰角、左右偏航角、人脸翻转角60°以内识别效果更好

# 接口调用流程

· 通过接口密钥基于hmac-sha256计算签名，将签名以及其他参数加在请求地址后面。详见下方鉴权认证。
· 将请求参数以及图片数据放在Http Request Body中，以POST表单的形式提交，详见下方请求参数。
· 向服务器端发送Http请求后，接收服务器端的返回结果。

# 鉴权认证

在调用业务接口时，请求方需要对请求进行签名，服务端通过签名来校验请求的合法性。

# 鉴权方法

通过在请求地址后面加上鉴权相关参数的方式，参数具体如下：

http示例url：

https://api.xf-yun.com/v1/private/s67c9c78c?authorization=YXBpX2tleT0iYXBpa2V5WFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFgiLCBhbGdvcml0aG09ImhtYWMtc2hhMjU2IiwgaGVhZGVycz0iaG9zdCBkYXRlIHJlcXVlc3QtbGluZSIsIHNpZ25hdHVyZT0iSk5od3prMWtLYjUwdUVGbEUxS2xCbk83K09NTjNZUk5LZVFsYzVMYVltTT0i&host=api.xf-yun.com&date=Fri%2C+17+Jul+2020+06%3A26%3A58+GMT

鉴权参数：

参数	类型	必须	说明	示例
host	string	是	请求主机	api.xf-yun.com
date	string	是	当前时间戳，RFC1123格式("EEE, dd MMM yyyy HH:mm:ss z")	Fri, 17 Jul 2020 06:26:58 GMT
authorization	string	是	使用base64编码的签名相关信息(签名基于hmac-sha256计算)	参考下方详细生成规则

· date参数生成规则：

date必须是UTC+0或GMT时区，RFC1123格式(Fri, 17 Jul 2020 06:26:58 GMT)。
服务端会对date进行时钟偏移检查，最大允许300秒的偏差，超出偏差的请求都将被拒绝。

· authorization参数生成格式：

1）获取接口密钥APIKey 和 APISecret。
在讯飞开放平台控制台，创建一个应用后打开静默活体检测页面可以获取，均为32位字符串。

2）参数authorization base64编码前（authorization_origin）的格式如下。

api_key="$api_key",algorithm="hmac-sha256",headers="host date request-line",signature="$signature"

其中 api_key 是在控制台获取的APIKey，algorithm 是加密算法（仅支持hmac-sha256），headers 是参与签名的参数（见下方注释）。
signature 是使用加密算法对参与签名的参数签名后并使用base64编码的字符串，详见下方。

注： headers是参与签名的参数，请注意是固定的参数名（"host date request-line"），而非这些参数的值。

3）signature的原始字段(signature_origin)规则如下。

signature原始字段由 host，date，request-line三个参数按照格式拼接成，
拼接的格式为(\n为换行符,’:’后面有一个空格)：

host: $host\ndate: $date\n$request-line

假设

请求url = api.xf-yun.com
date = Fri, 17 Jul 2020 06:26:58 GMT

那么 signature原始字段(signature_origin)则为：

host: api.xf-yun.com
date: Fri, 17 Jul 2020 06:26:58 GMT
POST /v1/private/s67c9c78c HTTP/1.1

4）使用hmac-sha256算法结合apiSecret对signature_origin签名，获得签名后的摘要signature_sha。

signature_sha=hmac-sha256(signature_origin,$apiSecret)

其中 apiSecret 是在控制台获取的APISecret

5）使用base64编码对signature_sha进行编码获得最终的signature。

signature=base64(signature_sha)

假设

APISecret = apisecretXXXXXXXXXXXXXXXXXXXXXXX	
date = Fri, 17 Jul 2020 06:26:58 GMT

则signature为

signature=JNhwzk1kKb50uEFlE1KlBnO7+OMN3YRNKeQlc5LaYmM=

6）根据以上信息拼接authorization base64编码前（authorization_origin）的字符串，示例如下。

api_key="apikeyXXXXXXXXXXXXXXXXXXXXXXXXXX", algorithm="hmac-sha256", headers="host date request-line", signature="JNhwzk1kKb50uEFlE1KlBnO7+OMN3YRNKeQlc5LaYmM="

注： headers是参与签名的参数，请注意是固定的参数名（"host date request-line"），而非这些参数的值。

7）最后再对authorization_origin进行base64编码获得最终的authorization参数。

authorization = base64(authorization_origin)
示例：
authorization=YXBpX2tleT0iYXBpa2V5WFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFgiLCBhbGdvcml0aG09ImhtYWMtc2hhMjU2IiwgaGVhZGVycz0iaG9zdCBkYXRlIHJlcXVlc3QtbGluZSIsIHNpZ25hdHVyZT0iSk5od3prMWtLYjUwdUVGbEUxS2xCbk83K09NTjNZUk5LZVFsYzVMYVltTT0i

# 鉴权结果

如果鉴权失败，则根据不同错误类型返回不同HTTP Code状态码，同时携带错误描述信息，详细错误说明如下：

HTTP Code	说明	错误描述信息	解决方法
401	缺少authorization参数	{"message":"Unauthorized"}	检查是否有authorization参数，详情见authorization参数详细生成规则
401	签名参数解析失败	{“message”:”HMAC signature cannot be verified”}	检查签名的各个参数是否有缺失是否正确，特别确认下复制的api_key是否正确
401	签名校验失败	{“message”:”HMAC signature does not match”}	签名验证失败，可能原因有很多。 1. 检查api_key,api_secret 是否正确。 2.检查计算签名的参数host，date，request-line是否按照协议要求拼接。 3. 检查signature签名的base64长度是否正常(正常44个字节)。
403	时钟偏移校验失败	{“message”:”HMAC signature cannot be verified, a valid date or x-date header is required for HMAC Authentication”}	检查服务器时间是否标准，相差5分钟以上会报此错误

认证失败返回示例：

HTTP/1.1 403 Forbidden
Date: Thu, 06 Dec 2018 07:55:16 GMT
Content-Length: 116
Content-Type: text/plain; charset=utf-8
{
    "message": "HMAC signature does not match"
}

# 请求参数

在调用业务接口时，都需要在 Http Request Body 中配置以下参数，请求数据均为json字符串。

参数名	类型	必传	描述
header	object	是	用于上传平台参数
header.app_id	string	是	在平台申请的appid信息
header.status	string	是	请求状态，取值范围为：3（一次传完）
parameter	object	是	用于上传服务特性参数
parameter.s67c9c78c	object	是	用于上传功能参数
parameter.s67c9c78c.service_kind	string	是	请求功能类型，取值范围为：anti_spoof
parameter.s67c9c78c.anti_spoof_result	object	是	用于上传响应数据参数
parameter.s67c9c78c.anti_spoof_result.encoding	string	否	文本编码，可选值：utf8（默认值）
parameter.s67c9c78c.anti_spoof_result.compress	string	否	文本压缩格式，可选值：raw（默认值）
parameter.s67c9c78c.anti_spoof_result.format	string	否	文本格式，可选值：json（默认值）
payload	object	是	用于上传请求数据
payload.input1	object	是	用于上传第一张图像数据
payload.input1.encoding	string	否	第一张图像编码可选值： jpg:jpg格式(默认值) jpeg:jpeg格式 png:png格式 bmp:bmp格式
payload.input1.image	string	是	第一张图像数据，base64编码，需保证图像文件大小base64编码后不超过4MB
payload.input1.status	int	否	第一张数据状态，取值范围为：3（一次传完）

请求参数示例：

{
  "header": {
    "app_id": "xxxxxxxx",
    "status": 3
  },
  "parameter": {
    "s67c9c78c": {
      "service_kind": "anti_spoof",
      "anti_spoof_result": {
        "encoding": "utf8",
        "compress": "raw",
        "format": "json"
      }
    }
  },
  "payload": {
    "input1": {
      "encoding": "jpg",
      "status": 3,
      "image": "/9j/4AAQSkZJR..."
    }
  }
}

# 返回参数

参数名	类型	描述
header	object	协议头部，用于描述平台特性的参数
header.sid	string	本次会话id
header.code	int	返回码 0表示会话调用成功（并不一定表示服务调用成功，服务是否调用成功以text字段中的ret为准）其它表示会话调用异常，详情请参考错误码。
header.message	string	描述信息
payload	object	数据段，用于携带响应的数据
payload.anti_spoof_result	object	静默活体检测响应数据块
payload.anti_spoof_result.compress	string	文本压缩格式，仅在设置了parameter.s67c9c78c.anti_spoof_result.compress参数时返回
payload.anti_spoof_result.encoding	string	文本编码，仅在设置了parameter.s67c9c78c.anti_spoof_result.encoding参数时返回
payload.anti_spoof_result.format	string	文本格式，仅在设置了parameter.s67c9c78c.anti_spoof_result.format参数时返回
payload.anti_spoof_result.text	string	静默活体检测返回结果，需要对其进行base64解码，解码后的返回字段如下

text字段具体信息

参数名	类型	描述	备注
ret	int	内部服务返回值	ret=0表示请求成功，否则请参考错误码表
passed	boolean	是否通过活体检测，true或false
score	float	活体置信度	最小值:0 最大值:1。该值越高，表示检测到的人脸是活体的可能性越高
x	int	人脸框左上角x坐标以图片左上角为原点，向右为正。	单位：像素。最小值:0 最大值:9999
y	int	人脸框左上角y坐标以图片左上角为原点，向下为正。	单位：像素。最小值:0 最大值:9999
w	int	人脸框宽度	单位：像素。最小值:0 最大值:9999
h	int	人脸框高度	单位：像素。最小值:0 最大值:9999

返回参数示例：

{
  "header": {
    "code": 0,
    "message": "success",
    "sid": "asexxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
  },
  "payload": {
    "anti_spoof_result": {
      "compress": "raw",
      "encoding": "utf8",
      "format": "json",
      "text": "ewoJImgiIDogNTEzLAoJInBhc3NlZCIgOiB0cnVlLAoJInJldCIgOiAwLAoJInNjb3JlIiA6IDAuOTk3ODc3MTIwOTcxNjc5NjksCgkidyIgOiA0MDYsCgkieCIgOiAzNjIsCgkieSIgOiA0NDYKfQo="
    }
  }
}

base64解码后的text示例：

{
	"h" : 513,
	"passed" : true,
	"ret" : 0,
	"score" : 0.99787712097167969,
	"w" : 406,
	"x" : 362,
	"y" : 446
}

# 错误码

备注：如出现下述列表中没有的错误码，可到这里 (opens new window) 查询。

错误码	错误描述	说明	处理方式
10010	service license not enough	授权不足	联系技术人员
10019	service read buffer timeout, session timeout	session 超时	联系技术人员
10106	wrapper output data invalid(key or type)	参数校验失败	依据错误提示信息检查参数是否正确上传，尤其是anti_spoof_result
10163	param validate error:...	参数校验失败	1)依据错误提示信息检查参数是否正确上传 2)检查图片大小是否超过上限，base64编码后大小不能超过4M
10222	context deadline exceeded	调用失败	1)检查图片格式是否不符合要求（jpg/png/bmp） 2)检查图片数据是否正确上传，尤其是payload中的image是否传入 3)检查图片大小是否超过上限，base64编码后大小不能超过4M
10313	invalid appid	appid不合法	检查app_id参数是否正确上传或是否为空
20005	活体检测失败	未能成功进行活体检测	1)检测输入图像是否包含人脸或人脸是否符合要求 2)检查参数合法性
20007	请求图像数据丢包	服务接收到空的图像数据	检查是否成功提交图像数据

# 调用示例

静默活体检测demo python3语言 (opens new window)

静默活体检测demo java jdk11语言 (opens new window)

静默活体检测demo java jdk8语言 (opens new window)

注：其他开发语言请参照接口调用流程进行开发，也欢迎热心的开发者到讯飞开放平台社区 (opens new window) 分享你们的demo。

# 常见问题

# 静默活体检测的主要功能是什么？

答：针对打印照、屏幕二次翻拍等作弊场景，基于图片中人像破绽及成像畸形，可有效识别目标是否为活体，并给出置信度参考。

# 静默活体检测支持什么应用平台？

答：目前支持Web API应用平台。

# 静默活体检测对人脸有什么要求吗？

答：需要清晰的人脸照片，人脸大小不小于30*30像素，其中人脸俯仰角、左右偏航角、人脸翻转角60°以内识别效果更好。

在这篇文章中：