API Key是程式化交易的鑰匙,也是盜號者最愛的後門——很多"密碼沒洩露卻被盜"的案例都是API Key出了問題。本文講清API Key的許可權體系、IP白名單、最小原則,以及怎麼定期清理不再使用的Key。管理入口在賬戶設定裡,請登入幣安官網進入API管理頁面,移動端也可以在幣安官方APP裡檢視,蘋果使用者請參考iOS安裝教程。
API Key是什麼
API Key(Application Programming Interface Key)是讓程式代替你操作賬號的憑證。
一個API Key由兩部分組成:
- API Key(公鑰):標識你是誰,比如
xH3kL9... - Secret Key(私鑰):用於簽名請求,絕對不能洩露
有了這兩個 + 對應許可權,任何程式都可以像你本人一樣操作你的幣安賬號——查資產、下單、提現等等。
什麼時候需要API Key
場景1 量化交易
用 Python、Node.js 之類的語言寫交易機器人,透過API自動下單。需要讀賬戶 + 現貨交易 + 合約交易許可權。
場景2 交易訊號同步
把一個交易所的持倉複製到另一個交易所。需要讀取持倉 + 下單許可權。
場景3 資產追蹤
接入 CoinGecko、CoinStats 之類的資產管理工具,自動更新你的持倉。只需要只讀許可權。
場景4 稅務軟體
Koinly、Cointracker 等稅務計算工具需要讀取你的歷史交易。只需要只讀許可權。
如果你沒有任何這些需求 → 不要建立API Key。API Key的存在就是潛在風險。
API Key的許可權型別
幣安的API Key支援細分許可權,可以勾選多個:
1 讀取(預設)
- 可以:檢視賬戶資訊、查詢訂單、下載歷史
- 不能:下單、提現、劃轉
- 安全性:最高
2 現貨和槓桿交易
- 可以:下單、撤單、查詢訂單
- 不能:提現
- 安全性:中等(最多虧損你的交易資產)
3 合約交易
- 可以:合約下單、開平倉、調整槓桿
- 不能:提現
- 安全性:中等偏低(高槓杆虧損快)
4 劃轉
- 可以:在你的子賬號之間、不同錢包之間(現貨/合約/理財)轉移資產
- 不能:轉出到鏈上其他地址
- 安全性:中等
5 提現
- 可以:提現到任何地址(預設)或白名單地址
- 預設關閉,需要主動勾選
- 安全性:最低
- 新建Key時預設關閉,強烈建議永遠不要開
最小許可權原則
給API Key的許可權越少 賬號越安全。
只讀場景
只勾選"讀取"。即使Key洩露,攻擊者也只能看 不能動。稅務工具、資產追蹤都用這個。
只交易不提現場景
勾選"讀取 + 現貨交易 + 合約交易",絕對不勾選"提現"。這是量化交易的標配。即使Key被盜,盜號者最多在你的賬戶裡亂下單 但拿不走幣。
跨平臺複製場景
勾選 "讀取 + 交易"。不要開劃轉和提現。
一句話:能不開就不開,能少開就少開。
IP白名單 最強防線
IP白名單讓API Key只能從指定的IP地址呼叫。其他IP即使拿到Key也用不了。
怎麼設定IP白名單
- 建立API Key時 → 勾選 "限制訪問受信IP"
- 輸入允許的IP地址(可以是多個,用逗號分隔)
- 儲存
怎麼知道自己的IP
- 本地執行:訪問
whatismyipaddress.com查公網IP - 雲伺服器執行:在雲廠商面板檢視例項的公網IP
- 動態IP:不能用IP白名單(只能用靜態IP或VPS)
IP白名單的威力
即使攻擊者完全拿到你的Key和Secret,從他自己的電腦也呼叫不了,因為他的IP不在白名單裡。這是防API洩露的終極方案。
IP白名單的限制
- 只支援IPv4(IPv6可能不穩定)
- IP變化後需要手動更新白名單
- 家庭動態IP不適合
建立API Key的步驟
第一步 進入API管理
- 登入 binance.com
- 右上角頭像 → "API管理"
- 點 "建立API"
第二步 選擇型別
- 系統生成(推薦):系統自動生成一對Key
- 自定義金鑰對(高階):用自己生成的公私鑰上傳公鑰
第三步 輸入標籤名
給API起一個有意義的名字,比如:
量化机器人-BTC策略Koinly-税务复制交易-Bitget
標籤名幫你後續清理時識別用途。
第四步 完成身份驗證
- 郵箱驗證碼
- 手機驗證碼(如果繫結了)
- Google Authenticator 6位碼
第五步 設定許可權
按最小原則勾選,別多勾任何一個。
第六步 設定IP白名單
強烈建議勾選。輸入伺服器IP。
第七步 儲存並記錄Secret
Secret只在建立時顯示一次。立即複製儲存到安全的地方(不要截圖 不要發郵件 不要存雲盤)。關閉頁面後就再也看不到了。
定期清理不用的API Key
為什麼要清理
- 每個Key都是潛在攻擊面
- 你可能忘了某個Key還在哪裡執行
- 舊Key的許可權可能不夠安全
清理建議
- 每月檢查一次API Key列表
- 超過30天沒用的 → 刪除
- 找不到用途的 → 刪除
- 許可權過大的 → 刪除重建
怎麼刪除
- 「API管理」 → 找到要刪的Key
- 點 "刪除"
- 完成身份驗證
- 確認
- 立即失效,該Key的所有程式瞬間失去訪問許可權
批次刪除
一次只能刪一個,沒有批次刪除功能。但你可以先"禁用"再慢慢刪。
API Key被盜的徵兆
徵兆1 異常訂單
- 你沒下過但出現在訂單歷史裡
- 特別是小幣種的買單(常見洗錢手法)
- 高頻小單(API特徵)
徵兆2 資金劃轉異常
- 現貨和合約之間突然大量互轉
- 子賬號之間異常調撥
徵兆3 API日誌有異常IP
- 「API管理」→ 看最近呼叫IP
- 發現陌生IP → 被盜
徵兆4 API許可權被修改
- 你只勾了"讀取",結果發現變成"讀取+交易"
- 有人改過你的Key
發現任何一個徵兆 → 立即刪除所有API Key 並檢查賬戶。
API Key洩露的常見原因
原因1 程式碼上傳到GitHub
硬編碼在原始碼裡,然後commit推送到GitHub。GitHub爬蟲會在幾分鐘內發現,幾秒鐘後你的賬號就被清空。
防護:永遠用環境變數或配置檔案(加進.gitignore),絕不硬編碼。
原因2 配置檔案被入侵
VPS被黑,config.json被讀取。
防護:伺服器要打補丁、禁用密碼登入、用SSH Key、啟用防火牆。
原因3 第三方服務被攻破
你把API Key給了某個"訊號服務"或"跟單機器人",對方被黑。
防護:只給信得過的服務商 + 開IP白名單 + 只勾交易許可權。
原因4 本地電腦中木馬
你的Windows或Mac裝了惡意軟體,API Key被盜。
防護:裝防毒軟體 + 不下盜版 + 重要程式放隔離環境。
常見問題
Q:API Key和賬號密碼哪個洩露更嚴重?
A:看許可權。如果API Key開了提現許可權 → 和密碼洩露一樣嚴重。如果只開讀取許可權 → 危害很小。再次說明最小許可權的重要性。
Q:每個賬戶最多能建立多少個API Key?
A:幣安允許每個賬戶最多30個API Key同時存在。刪除後可以重新建立。一般個人使用者1-3個就夠了。
Q:API Key有沒有有效期?
A:大部分Key沒有強制有效期。但如果90天沒有任何呼叫,幣安會自動禁用。需要重新進入API管理頁面手動啟用。
Q:可以給API Key設定子賬戶許可權嗎?
A:可以。子賬號有獨立的API Key,許可權和資產都和主賬號隔離。強烈推薦把量化交易放在子賬號裡,即使被盜也不影響主賬號資產。