REST API v1
适用于您的服务器、脚本和 SDK
- 50+ 端点,覆盖所有账户操作
- JSON Schema 类型化 · OpenAPI 3.1 规范
- 幂等写入,游标分页
- 密钥在控制台 → API 设置中生成
- HMAC 签名 Webhook,支持重放保护
- 按密钥限速 · 突发 60 次/秒,持续 1000 次/分钟
- 向后兼容,版本化(v1 永久 LTS)
REST 适用于您全程掌控的集成。MCP 适用于自主驱动集成的智能体。
注册、充值、发卡。整个流程在一个 Shell 会话内完成——无论是人类还是代理均适用。
API 密钥在面板的 /api-settings 中生成。下方的 Bearer 令牌是注册响应返回的短期 会话 Bearer——测试可用,但生产环境请替换为长期 ccm_live_… 密钥。
# Create an account — no KYC, no documents
curl https://api.cryptocardium.com/v1/accounts \
-H "Content-Type: application/json" \
-d '{
"email": "[email protected]",
"password": "long-random-string"
}'
# → 201 Created · session bearer in the response
{
"id": "acc_8f3a91b7c4d2",
"email": "[email protected]",
"bearer": "sess_94d72b6c..."
}# Create a USDT-TRC20 deposit address
curl https://api.cryptocardium.com/v1/topups \
-H "Authorization: Bearer $CCM_KEY" \
-H "Idempotency-Key: top_61f503cc3466a63f" \
-d '{
"amount_usd": 500,
"asset": "USDT",
"chain": "tron"
}'
{
"id": "top_4e21a99c7b",
"status": "pending",
"amount_usd": 500,
"deposit_address": "T9zFR...kQp",
"qr_data_uri": "data:image/png;base64,...",
"expires_at": "2026-05-19T08:00:00Z"
}# Once your top-up confirms, issue a Visa Platinum
# loaded with $300, Apple/Google Pay-ready.
curl https://api.cryptocardium.com/v1/cards \
-H "Authorization: Bearer $CCM_KEY" \
-d '{
"type": "virtual",
"bin": "489517",
"load_usd": 300,
"wallet_provision": ["apple_pay", "google_pay"]
}'
{
"id": "card_8f3a91b7c4d2",
"bin": "489517",
"last4": "4218",
"status": "active",
"balance_usd": 300,
"wallet": {"apple_pay": "ready", "google_pay": "ready"}
}账户、充值、卡片、交易、日志、提现、争议、Webhook——面板的完整功能,以 REST 端点和 MCP 工具的形式全部开放。
/v1/accounts
创建新账户(无 KYC,无需任何文件)。
create_account
/v1/sessions
使用邮箱和密码登录(返回 Bearer 令牌)。
sign_in
/v1/sessions
退出当前会话。
sign_out
/v1/accounts/me
返回当前账户、余额及双重认证状态。
get_account
/v1/accounts/me
更新账户邮箱、密码及通知设置。
update_account
/v1/accounts/me/totp
注册身份验证器(返回密钥和 URI)。
enable_2fa
/v1/accounts/me/totp
禁用双重认证(需要密码和有效验证码)。
disable_2fa
/v1/api_keys
列出您的 API 密钥(仅显示前缀,从不暴露密钥本体)。
list_api_keys
/v1/api_keys
创建新密钥。明文仅返回一次。
create_api_key
/v1/api_keys/:id
立即吊销一个密钥。
revoke_api_key
/v1/balance
当前 USDT 余额。
get_balance
/v1/balance/history
余额变动的时间序列。
get_balance_history
/v1/topups
创建充值:返回充值地址和二维码。
create_topup
/v1/topups
列出您的充值记录(可按状态、日期筛选)。
list_topups
/v1/topups/:id
获取充值详情(状态、确认数、txid)。
get_topup
/v1/topups/:id/cancel
取消待处理的充值。
cancel_topup
/v1/cards
列出您的卡片(可按状态、类型、BIN 筛选)。
list_cards
/v1/cards
发行新卡(虚拟卡或实体卡)。
issue_card
/v1/cards/:id
卡片元数据(状态、BIN、末四位、余额)。
get_card
/v1/cards/:id/pan
完整 PAN 及 CVV(敏感信息,单次使用,全程审计)。
reveal_pan
/v1/cards/:id/replace
替换卡片(新 PAN,虚拟卡重新发行)。
replace_card
/v1/cards/:id/load
将 USDT 从余额充入卡片。
load_card
/v1/cards/:id/unload
将未消费余额退回资金池。
unload_card
/v1/cards/:id/freeze
冻结卡片(授权将被拒绝)。
freeze_card
/v1/cards/:id/unfreeze
解冻已冻结的卡片。
unfreeze_card
/v1/cards/:id/cancel
永久注销卡片。
cancel_card
/v1/cards/:id/limits
设置每张卡的单笔 / 每日 / 每月消费上限。
set_card_limits
/v1/cards/:id/mcc
允许或拒绝特定 MCC 类别(列表形式)。
set_mcc_rules
/v1/cards/:id/geo
将卡片地理锁定至特定国家。
set_card_geo
/v1/transactions
列出所有卡片交易(分页)。
list_transactions
/v1/transactions/:id
单条授权/结算/退款事件。
get_transaction
/v1/cards/:id/transactions
单张卡的交易历史。
list_card_transactions
/v1/transactions/:id/auth
原始授权报文(ISO 8583 字段)。
get_auth_details
/v1/activity
统一事件流(充值 + 卡片 + 消费)。
get_activity
/v1/activity?type=error
按事件类型筛选(topup/card/spend/error)。
filter_activity
/v1/audit_log
账户级审计日志(登录记录、密钥使用情况)。
get_audit_log
/v1/withdrawals
将 USDT 提现至外部钱包。
withdraw
/v1/withdrawals
列出您的提现请求。
list_withdrawals
/v1/withdrawals/:id
获取提现详情(状态、链上 txid)。
get_withdrawal
/v1/disputes
就某笔交易发起拒付申请。
file_dispute
/v1/disputes
列出您的争议(未结 / 已回复 / 已关闭)。
list_disputes
/v1/disputes/:id
单条争议详情(状态、回复、证据)。
get_dispute
/v1/disputes/:id/evidence
附上证据(收据、截图、备注)。
add_dispute_evidence
/v1/webhooks
列出您的 Webhook 订阅。
list_webhooks
/v1/webhooks
订阅事件(URL 及事件类型)。
create_webhook
/v1/webhooks/:id
更新 URL、事件类型或轮换签名密钥。
update_webhook
/v1/webhooks/:id
取消订阅。
delete_webhook
/v1/webhooks/:id/replay/:eid
向您的端点重放某个事件。
replay_webhook
/v1/tickets
提交支持工单(需持有有效卡片)。
open_ticket
/v1/tickets
列出您的工单。
list_tickets
/v1/system/health
健康检查(发卡行、通道、网络状态)。
get_system_health
/v1/system/limits
您当前的速率限制和消费上限。
get_limits
给定「用加密货币购买 100 个云积分」这样的任务,代理会自动串联以下调用——全程无需人工介入。每一步都是一次工具调用。
/v1/accounts · create_account代理生成新的邮箱和密码并提交注册。无 KYC,无需任何文件。约 200 毫秒内返回 Bearer 令牌。
/v1/topups · create_topup代理请求以任意支持的加密货币充值(USDT-TRC20 手续费最低)。收到充值地址后,从钱包发送加密货币。资金确认后 Webhook 即时触发。
/v1/cards · issue_card代理根据商户选择最匹配的 BIN(广告投放用 Visa Business,手机钱包用 Visa Platinum,SaaS 用 Visa Corporate),充入金额并获得实体卡。
/v1/cards/:id/pan · reveal_pan代理获取 PAN、CVV 及有效期(单次使用,全程审计),用于商户结账。3-D Secure 验证通过 Webhook 回调完成。
/v1/activity · get_activity代理轮询(或通过 Webhook 订阅)授权事件,确认消费成功,并读取商户名称、MCC、金额及货币信息。
/v1/cards/:id/freeze · freeze_card任务完成。代理冻结(或注销)卡片。未消费余额可退回资金池。整个流程耗时不到一分钟。
将我们托管的 MCP 服务器添加至代理配置,代理将自动获得 40+ 个工具——每个 REST 端点都映射为便于代理理解的工具名称。
~/.config/claude/claude_desktop_config.json
{
"mcpServers": {
"cryptocardium": {
"url": "https://mcp.cryptocardium.com/v1",
"transport": "http"
}
}
}# Streamable HTTP transport, OAuth 2.1 DCR
mcp-cli add cryptocardium \
--url https://mcp.cryptocardium.com/v1 \
--auth oauth
# The agent enrols itself on first connection,
# no API key needs to be pasted.每个 REST 端点都有对应的 MCP 工具,命名经过专门设计以便代理理解。以下是部分示例:
create_account
sign_in
create_topup
get_topup
issue_card
load_card
reveal_pan
freeze_card
unfreeze_card
set_card_limits
set_mcc_rules
list_transactions
get_activity
withdraw
file_dispute
create_webhook
get_audit_log
get_balance
get_system_health
…… 还有 21 个
简单脚本使用 Bearer 令牌,生产服务器使用 API 密钥,自动注册的代理使用 OAuth 2.1 + DCR。
来自 POST /v1/sessions。短期有效(30 天)。适合测试和交互式脚本。
Authorization: Bearer sess_94d72b6c…来自 API 设置。永久有效(直至吊销)。具备账户级权限。最适合后端集成。
Authorization: Bearer ccm_live_a1b2c3d4…代理可在运行时通过动态客户端注册(DCR)自行注册。按工具粒度授权——将代理限制为只读,或仅限操作某张特定卡片。
POST /oauth/register
→ client_id, client_secret
POST /oauth/token
→ access_token (scoped)HMAC-SHA256 签名的载荷。至少送达一次,失败自动重试。可通过面板或 API 重放任意事件。
account.created · 新用户注册account.signed_in · 会话开始topup.created · 充值地址已生成topup.confirmed · 链上最终确认已达成topup.expired · 地址有效期已关闭topup.error · 结算失败(kill-switch,退款)card.issued · 新卡已激活card.loaded · 已向卡片充入资金card.frozen · 代理或管理员已冻结card.cancelled · 已永久注销transaction.authorized · 预授权transaction.captured · 商户已结算transaction.refunded · 退款已到账transaction.declined · 已拒绝(含原因码)dispute.opened · 拒付申请已提交dispute.resolved · 已裁决(胜诉/败诉)withdrawal.broadcasted · 链上交易已广播system.maintenance · 计划停机维护# Headers we set on every webhook
Cryptocardium-Signature: t=1718999999,
v1=4a8b2f...
Cryptocardium-Event-Id: evt_a1b2c3d4
# Verify (Node example)
const sig = req.headers['cryptocardium-signature'];
const [t, v1] = parseSig(sig);
const expected = hmac(
'sha256',
SIGNING_SECRET,
`${t}.${rawBody}`
);
if (!timingSafeEqual(v1, expected)) reject();按 API 密钥计算。在极短时间窗口内,超出稳定速率的短暂突发请求可被容忍。
按 API 密钥计算。超出限制的请求将收到 429 Too Many Requests 响应,附带 Retry-After 响应头。
请求体和响应体大小限制。争议证据支持流式上传,最大 100 MB。
多区域主主架构。状态页面:status.cryptocardium.com。
Everything people actually ask. Last updated .
REST v1 接口的机器可读 OpenAPI 3.1 规范发布于 https://cryptocardium.com/openapi.json(YAML 版本在 /openapi.yaml)。可导入 Postman、Insomnia、Stoplight 或任何支持 OpenAPI 的 AI 工具。
服务器信息卡发布于 https://cryptocardium.com/.well-known/mcp/server-card.json(MCP SEP-1649 格式)。授权元数据位于 /.well-known/oauth-authorization-server(RFC 8414)和 /.well-known/oauth-protected-resource(RFC 9728)。MCP 客户端无需任何手动配置即可完整接入服务器。
仅支持可流式 HTTP(MCP spec 2025-06-18),长运行操作可选 SSE 升级。已弃用的 HTTP+SSE 传输不受支持。
可以。OAuth 2.1 授权服务器支持动态客户端注册(RFC 7591)。智能体将其元数据 POST 至 /oauth/register,立即获得 client_id 和 client_secret。初始作用域受限;智能体可通过标准 OAuth 授权流程申请更高作用域。
支持。付费端点可返回携有结构化 PAYMENT-REQUIRED 头的 HTTP 402(scheme=exact,network=base,asset=USDC)。智能体携带 PAYMENT-SIGNATURE 重试。与 Visa TAP 和 Mastercard Agent Pay 均原生兼容。
每个 Webhook 事件均使用 HMAC-SHA256 签名。签名密钥在订阅时生成一次,可按需轮换。幂等键允许安全重放。涵盖的生命周期事件:充值状态流转、开卡、授权、扣款、退款、争议、清算。
按工具授权。您可以向智能体授予卡片只读权限(card:read),或仅开卡不显示卡号(card:issue 但无 card:reveal_pan),或通过细粒度访问策略将权限限定到单张卡。作用域授权可随时撤销。
每个 API 密钥每分钟 600 次请求,突发上限 100 次。如需更高上限,请通过 /contact 申请。限制信息见 /v1/system/limits。