币安 API Key 怎么安全配置|权限与 IP 白名单
币安 API Key 怎么用得安全?直接答:只授予最小必需权限、绑定 IP 白名单、不开提币、定期检查。本文详解。
币安 API Key 怎么用得安全?直接答:4 条铁律——只授予最小必需权限、绑定 IP 白名单、不开提币权限、定期检查与轮换。本文详解。
打开 币安官网 → API 管理,币安官方App 上同样可创建 API Key。装 App 见 下载页。
API Key 的 4 类权限
| 权限 | 说明 |
|---|---|
| Read(读取) | 看行情、账户余额、历史 |
| Spot Trade | 下现货单 |
| Margin Trade | 下杠杆单 |
| Futures Trade | 下合约单 |
| Withdraw(提币) | 程序提币(极危险) |
| Internal Transfer | 子账户转账 |
| Sub-account | 子账户管理 |
A:新手强烈建议只开 Read 权限——其他全关。学会后再按需开。
不要开提币权限
风险
| 风险 | 说明 |
|---|---|
| API Key 泄露 | 资产瞬间清空 |
| 服务器被入侵 | 资产瞬间清空 |
| 程序 bug | 误提币 |
A:99% 的 API Key 用例不需要提币权限——量化交易只需要交易权限即可。
合法用例
仅以下场景需要提币权限:
| 场景 | 说明 |
|---|---|
| 跨平台资产调度 | 程序自动转 |
| 大型量化基金 | 多平台对冲 |
| 机构托管 | 自动结算 |
普通用户绝对不要开。
IP 白名单
强制绑定
A:带 Trade 或 Withdraw 权限的 API Key 必须绑 IP 白名单——这是币安的硬性安全要求。
| 配置 | 安全度 |
|---|---|
| 不绑 IP | 低 |
| 绑单 IP | 高 |
| 绑 IP 段 | 中 |
单 IP vs 多 IP
| 场景 | IP |
|---|---|
| 自托管服务器 | 1 个固定 IP |
| 云服务器 | 1-2 个固定 IP |
| 家用宽带 | 动态 IP(要绑则要看运营商) |
A:家用动态 IP 不建议带提币权限——IP 变化导致 API Key 失效,且动态 IP 安全性低。
创建 API Key 的步骤
| 步骤 | 操作 |
|---|---|
| 1 | API 管理 → 创建 |
| 2 | 输入 Key 名称(标识用途) |
| 3 | 选权限 |
| 4 | 绑 IP 白名单(如 Trade) |
| 5 | 邮箱 + 2FA 确认 |
| 6 | 显示 Secret Key(只显示一次) |
| 7 | 立即保存 Secret |
A:Secret Key 只显示一次——失去就要重新创建。
保存 Secret Key
推荐保存方式
| 方式 | 推荐度 |
|---|---|
| 密码管理器 | 高 |
| 加密的环境变量文件 | 高(用于程序) |
| 硬件密钥保险箱 | 高 |
| 写到代码里硬编码 | 极低 |
| 微信收藏 | 极低 |
| 邮箱 | 极低 |
不要做的
| 不做 | 原因 |
|---|---|
| 提交到 GitHub 仓库 | 即使 private 也有泄漏风险 |
| 写在 README | 同上 |
| 截图存相册 | 云同步泄露 |
| 群里发 | 即使是私群 |
API Key 的撤销
何时撤销
| 场景 | 操作 |
|---|---|
| 不再使用 | 立即删 |
| 怀疑泄露 | 立即删 |
| 长期不用(30 天+) | 删 |
| 量化策略失效 | 删 |
A:用完不删的 API Key 是最大安全隐患——攻击者拿到了你也不知道。
撤销步骤
| 步骤 | 操作 |
|---|---|
| 1 | API 管理 |
| 2 | 找到 Key |
| 3 | 删除 |
| 4 | 邮箱 + 2FA |
| 5 | 立即生效 |
多个 API Key 的管理
命名规范
| 命名 | 用途 |
|---|---|
Tradingview_Read |
TradingView 看行情 |
Trader_Spot_Bot |
现货机器人 |
Hedge_Futures |
对冲合约 |
Custody_Read |
资产监控 |
权限分离
A:不同用途的 API Key 分开建——一个 Key 对应一个用途,泄露损失最小。
API Key 的限频
币安按 API Key 限频:
| 维度 | 限制 |
|---|---|
| Per-IP 频次 | 1200 / 分钟 |
| Per-Key 频次 | 类似 |
| 突发 | 5 倍允许 |
| 超频后果 | 暂时封禁 |
监控 API Key 的使用
定期检查
| 检查 | 频次 |
|---|---|
| Key 列表 | 每月 |
| 是否有未知 Key | 每月 |
| 各 Key 最后使用时间 | 每月 |
| 异常调用 | 每周 |
A:API Key 的「最后使用时间」是关键指标——长期不用的应该立即删除。
API 调用日志
币安通常不向用户提供 API 调用日志——但订单 / 划转记录里能看到 API 触发的条目。
子账户的 API Key
部分账户可以为子账户单独创建 API Key——隔离风险。
| 优势 | 说明 |
|---|---|
| 风险隔离 | 子账户 Key 泄露不影响主 |
| 权限分级 | 主账户保留只读,子账户 Trade |
| 资金隔离 | 单 Key 只能动单账户 |
实操指引
新手建议完全不开 API Key——浏览器 + App 已够用。需要量化时打开 币安官网 创建第一个 Read-only Key 试用。币安官方App 上也可管理 API Key。
FAQ
Q:API Key 能像登录一样用账号密码吗? A:不能。API Key 是单独凭证,与账号密码不同。
Q:创建 API Key 时邮箱必须收到吗? A:是。邮箱与 2FA 双重确认是创建 Key 的硬性要求。
Q:忘记保存 Secret Key 怎么办? A:无法找回。必须删掉重建一个新 Key。
Q:API Key 有过期时间吗? A:用户创建时通常无过期。但币安可能在政策变化时强制要求更新。
Q:API Key 支持双因子吗? A:API Key 本身就是认证因子。配合 IP 白名单 + 权限最小化即可。
Q:API Key 能跨账户共用吗? A:不能。每个 Key 绑定单个账户。
Q:本站对 API Key 的核心建议? A:本站建议新手不开 + 必须开时只给 Read + 量化必须绑 IP + 永远不开提币——这是 API Key 安全的最低门槛。