建立幣安API Key分為6步:登入幣安官網(API功能網頁端才有,APP不支援建立),進入"賬戶-API管理",點選"建立API"選擇"系統生成",輸入自定義標籤名並透過郵件+2FA+簡訊三重驗證,系統會一次性顯示API Key和Secret Key,立刻複製儲存(Secret Key只顯示一次!),最後配置許可權(現貨交易/合約交易/提幣/讀取等)和IP白名單。強烈建議:建立任何API Key都必須繫結IP白名單,沒有IP白名單的API Key一旦洩露等於直接送資產。根據幣安2024年統計資料,API Key被盜導致的資金損失中,93%發生在未繫結IP白名單的Key上。繫結IP白名單後即使Secret Key洩露,攻擊者也無法從自己的伺服器呼叫API。幣安官方APP雖然不能建立API Key,但可以檢視和刪除已有的Key,方便緊急處置。如果還沒安裝APP請參考iOS安裝教程。本文覆蓋建立、許可權配置、白名單、使用、監控、洩露應急的全生命週期。
API Key是什麼?能幹什麼?
API Key(應用程式介面金鑰)是一種讓外部程式代表你操作幣安賬戶的憑據。有了API Key,程式可以24小時不間斷地讀取你的賬戶資料、下單買賣、查詢歷史,無需每次登入輸密碼。
典型使用場景有五類:量化交易(如跑Python策略自動買賣)、跟單交易(讓程式複製大V的倉位)、行情獲取(批次拉歷史K線做回測)、資產盤點(自動統計多賬戶總資產)、會計記賬(對接企業財務系統)。
API Key由兩部分組成:API Key(公鑰)用於識別身份,可以公開顯示;Secret Key(私鑰)用於簽名請求,必須嚴格保密。類比銀行卡的話,API Key相當於卡號,Secret Key相當於密碼——卡號給別人看沒關係,密碼洩露就完了。
建立API Key的詳細步驟
**第一步:進入API管理頁。**登入幣安官網(手機瀏覽器也可以,但APP內目前不支援建立),點選右上角頭像,選擇"API管理"(API Management)。頁面上方顯示你已建立的所有API Key列表,下方是"建立API"按鈕。
**第二步:選擇建立方式。**幣安提供兩種方式:"系統生成"(System-generated)適合大部分使用者,金鑰由幣安隨機生成;"自行匯入"(Self-generated)適合有RSA/Ed25519金鑰對的高階使用者,自己生成公私鑰後把公鑰上傳給幣安,安全性更高(幣安永遠不知道你的私鑰)。
建議普通使用者選"系統生成"足夠安全。企業使用者和專業量化團隊建議用"自行匯入"的Ed25519金鑰對,幣安從2024年5月起推薦這種方式,簽名效能比HMAC-SHA256快10倍以上。
**第三步:命名API Key。**輸入一個有意義的標籤名,例如"現貨網格策略"、"合約做市"、"餘額監控"。標籤只對自己可見,方便日後區分不同用途。建議每個策略一把Key,不要一Key多用。
**第四步:身份驗證。**輸入郵箱收到的6位驗證碼、簡訊收到的6位驗證碼、谷歌驗證器的6位動態碼,三重驗證全部透過才能進入下一步。
**第五步:儲存Secret Key。**驗證透過後,頁面會顯示API Key和Secret Key。**Secret Key只在此時顯示一次,關閉頁面後永遠無法再次檢視。**務必立刻複製貼上到安全的地方儲存,推薦:
- 密碼管理器(1Password、Bitwarden)的"加密備註"欄位
- 本地加密檔案(用GPG加密後儲存在隨身碟)
- 最安全:寫在紙上鎖進保險櫃(適合大額賬戶)
絕不推薦:微信收藏、QQ郵箱草稿、普通txt檔案、未加密的雲盤——這些都容易洩露。
第六步:許可權和IP配置(後面詳述)。
四級許可權體系
幣安API許可權從低到高分為四級,原則是"最小許可權"——只開啟你策略必需的許可權。
**Level 1:僅讀取(Read Only)。**可以查詢賬戶餘額、歷史訂單、當前持倉,但不能下單、不能提幣、不能修改任何設定。這是最安全的級別,適合資產監控、財務對賬、稅務申報。
**Level 2:現貨及保證金交易(Spot & Margin Trading)。**在Level 1基礎上增加下單功能,可以買賣現貨和槓桿。不能操作合約,不能提幣。適合現貨量化策略。
**Level 3:合約交易(Futures Trading)。**獨立開關,可以開啟U本位合約、幣本位合約、期權的交易許可權。合約有槓桿,風險高,建議只給經過充分回測的策略開啟此許可權。
**Level 4:提幣(Enable Withdrawals)。**最高危險級別。開啟後程式可以把你賬戶裡的資產提走!99%的使用者都不需要開啟這個許可權。提幣應該永遠由人工操作。只有極少數跨交易所套利或自動歸集的場景才需要,且必須嚴格限制提幣地址白名單。
許可權越高攻擊面越大。建議原則:讀取、現貨、合約按需開,提幣永遠不開。如果某天你發現策略"需要提幣許可權",先想想能不能用內部轉賬(如從U本位合約到現貨)代替提幣,大多數場景都可以。
IP白名單是生命線
這是本文最重要的部分。沒有IP白名單的API Key洩露等於賬戶被盜。
IP白名單的原理:你把跑策略的伺服器IP地址(例如阿里雲ECS的公網IP:47.98.xx.xx)加入白名單,幣安API伺服器只接受來自這些IP的請求,其他IP即使用你的Secret Key簽名正確也會被拒絕。
建立時的IP配置選項:
- **僅限受信任IP訪問(推薦):**輸入1-20個IP地址,每行一個。IPv4格式如"47.98.123.45",不支援段(如192.168.1.0/24這種寫法)。
- **不限制(非常不推薦):**任何IP都能用這個Key。幣安已經在2024年把"不限IP"的Key有效期限制為90天,到期自動失效需重建,逼迫使用者使用IP白名單。
**如何查你的伺服器IP:**SSH登入伺服器後執行 curl ifconfig.me 或 curl ip.sb,返回的就是公網IP。家庭寬頻使用者注意,家用IP大多是動態的,每次重撥可能變化,不適合做API白名單,建議使用VPS(靜態IP)或雲函式服務。
**跨地域部署:**如果你的策略執行在多個伺服器(主備或多地區),把所有IP都加入白名單。幣安允許最多20個IP。
**臨時除錯:**開發階段你想在本地電腦除錯策略,可以臨時把家裡的公網IP加入白名單,除錯完畢後立刻移除,只保留伺服器IP。
API使用中的安全實踐
**實踐一:Secret Key永遠不要硬編碼在程式碼裡。**不要直接寫在.py、.js檔案裡,避免commit到Git倉庫(尤其是公開倉庫)。正確做法是用環境變數(export BINANCE_SECRET=xxx)或配置檔案(.env,加入.gitignore)。
**實踐二:用獨立子賬戶隔離風險。**幣安免費允許建立最多200個子賬戶。建議每個策略跑在獨立子賬戶上,主賬戶只放少量資金用於調撥。子賬戶的API Key即使被盜,損失僅限於子賬戶餘額。
**實踐三:用許可權分離。**讀取餘額用一把Read Only Key,交易用一把Spot Trading Key。讀取Key用於前端展示和報表可以IP不限,交易Key嚴格繫結IP並開許可權。
**實踐四:定期輪換。**每90天重新建立一次API Key,刪除舊的。即使舊Key被長期監聽也會在90天后失效。幣安API管理頁會顯示每個Key的建立時間,方便追蹤。
**實踐五:監控異常呼叫。**幣安提供API Key的呼叫統計,在"API管理"頁點Key右側的"檢視詳情",能看到每分鐘的呼叫次數、最大權重消耗、觸發的限流次數。如果某把Key突然呼叫量翻倍,可能有人在濫用。
如果API Key洩露了怎麼辦?
**第一步:立刻在APP或網頁端刪除該API Key。**進入API管理頁,點選洩露Key右側的"刪除"按鈕,確認後Key立刻失效。刪除是不可恢復的,不用猶豫。
**第二步:檢查賬戶操作記錄。**檢視過去24小時的交易、提幣、充值記錄,識別是否有異常交易。如果攻擊者已經用Key下單買了冷門垃圾幣(典型的拉盤出貨攻擊),立刻聯絡客服凍結賬戶。
**第三步:重置其他相關安全設定。**修改登入密碼、重置2FA、檢查其他API Key是否安全。因為攻擊者可能同時拿到了賬戶的其他憑據。
**第四步:排查洩露渠道。**常見洩露途徑有:程式碼push到公開Git倉庫(用github.com/searchcode等工具搜自己的Secret Key)、伺服器被入侵(檢視auth.log)、截圖時不小心拍到、給"客服"提供金鑰(詐騙)、使用了惡意的開源量化框架等。找到根源才能避免再次洩露。
**第五步:提交工單。**即使沒損失,也建議給幣安客服提交工單說明情況,請求啟用"API洩露冷靜期"——賬戶進入提幣稽核加強狀態7天,任何提幣都需要人工稽核。
常見錯誤程式碼和處理
| 錯誤碼 | 含義 | 處理方式 |
|---|---|---|
| -1021 | 時間戳超出伺服器時間視窗 | 伺服器時間校準NTP |
| -1022 | 簽名無效 | 檢查Secret Key、引數拼接順序 |
| -2010 | 下單失敗:餘額不足 | 檢查可用餘額和凍結情況 |
| -2014 | API Key格式錯誤 | 檢查Key字串是否完整 |
| -2015 | API Key無效/已禁用/IP白名單不匹配 | 重點檢查IP白名單 |
| -1003 | 請求過於頻繁 | 降低呼叫頻率,注意權重 |
| -4131 | 合約API許可權未開啟 | 在API管理頁開啟合約許可權 |
遇到-2015錯誤最常見的原因就是IP白名單配置錯誤,或者你的伺服器IP變了。用 curl ifconfig.me 再次確認當前IP,與白名單對比即可。
高頻問答
**Q:API Key能建立多少個?**A:目前限制單個賬戶最多30個API Key。夠大多數使用者使用。
**Q:Secret Key丟了怎麼辦?**A:只能重新建立一個新的API Key,舊的Key+Secret組合永遠找不回來。這也是為什麼建立時一定要立刻儲存Secret Key。
**Q:API Key有使用費嗎?**A:免費。交易手續費跟手動交易一樣,API無額外費用。
**Q:API Key會過期嗎?**A:永久有效(未設IP白名單的從2024年起限90天)。但建議主動每90天輪換提升安全性。
**Q:能給客服發API Key幫助排查問題嗎?**A:**絕對不能!**真客服永遠不會要求你提供Secret Key。任何索取Secret Key的都是騙子。