5个小技巧帮您安全使用API密钥

admin 2023-09-17 32

默认

摘要： 要点应用程序编程接口(API)密钥可用于授权某些程序更方便地获取用户数据。但是若API密钥未管理得当，可能会受到攻击。学习如何安全地使用API密钥至关重要，能防止您的资产受到损害。...

要点

应用程序编程接口(API)密钥可用于授权某些程序更方便地获取用户数据。
但是若API密钥未管理得当，可能会受到攻击。学习如何安全地使用API密钥至关重要，能防止您的资产受到损害。
币安为提高安全性，已支持RSA API密钥对。了解如何生成并使用此密钥对。

使用API密钥后，用户可以更方便地获取他们的数据。币安为您提供了包括非对称式加密演算法(RSA)密钥对、IP白名单在内的5条小技巧，帮助您保障API密钥安全。

应用程序编程接口(API)密钥是授权特定程序读取用户数据的有效方式，程序可代表用户执行操作。但是如果未储存、使用得当，API密钥很可能会受到攻击。例如，不法分子可能会盗取或诱骗受害者的API密钥，从而获取受害者的资金。学习币安的5个API密钥安全措施，保障您的资产安全。

1.请勿与他人分享您的密钥

您的API密钥的秘密密钥(HMAC)和私钥(RSA)是高度敏感的数据。我们强烈建议您不要透露这一信息。有了密钥后，任何人都能代表您发起API请求，我们的风险监控系统也不会检测到。

您还应该经常在API管理页面检查您账户上有效的API密钥。如果您怀疑任何一个API密钥有被盗风险，不要迟疑，请立即删除并替换为新密钥。经常删除旧的API密钥并替换成新密钥也是很好的主意，类似于某些系统不管您是否经常使用，都要求30 - 90天更换一次密码。

2.勤于管理访问权限

API密钥是自动交易、头寸与风险监控以及税收的有用工具。因此，您可能想授权一个密钥完成多项任务，如API交易和数据查询。但这会降低密钥的安全性，如果您的API密钥被泄露，黑客可能会获得您账户和资金的全部访问权限。

为每一个应用程序设置单个API密钥，且只启用完成该任务的权限会更加安全。例如，如果您想监测交易风险、报告税收、进行API现货和合约交易，那您应当至少设置4个密钥，每个密钥只用于以下一个目的：

现货交易
合约交易
税务数据查询
交易数据查询（只读权限）

在币安，每个子账户可设置高达30个API密钥。

3.安全地储存API密钥数据

如上所述，如果您的API密钥落入不法分子手中，您的资产可能会受到损害。与您保护私钥的方式一样，请不要以纯文本的形式储存您的API详细信息，而应当将其加密或储存在可信的密钥管理服务中。您还应当避免将API密钥储存在云端，因为云端可能容易受到黑客攻击。

同样的，我们还建议您尽量避免将API密钥储存在应用程序源代码或仓库中。

可以考虑将API密钥数据储存在您在使用的第三方管理系统之外的文件或环境变量中，避免与其共享个人信息。

RSA私钥支持密码保护，因此使用RSA密钥的用户应当为每一RSA私钥都设置密码。

4.使用IP白名单

币安强烈建议用户为所有API密钥设置IP白名单，无论这些API密钥的权限或用途是什么。有了IP白名单后，您的API密钥只能从特定的IP地址访问。这样如果API密钥落入不法分子手中后，他们也无法使用密钥。因此，您应当将使用API密钥的所有IP地址都列在白名单内。

谨防诈骗

虽然IP地址不在白名单内将无法使用API密钥发起提现请求，但您仍需保护好您的API密钥。如果黑客盗取了您的密钥，他们可以将交易量相对小的资产进行配对交易，从而慢慢窃取您钱包中的资产。若黑客用您的蓝筹资产（比特币、币安币、BUSD等）买入他们账户中的您不需要资产，久而久之您账户中会只剩下从未打算购买的山寨币。换句话说，黑客用您的API密钥将您的资产与他们的市场流动性较低的资产进行交易。

为防止此类诈骗，币安在2022年12月实施了API密钥自动删除策略。如果您的API密钥未启用IP白名单，且30天内未使用，该密钥将被删除。为避免被自动删除，请您创建IP白名单。