欧易OKX API秘籍：5步开启你的量化交易🚀

欧易平台如何进行API接口设置

在加密货币交易中，API (应用程序编程接口) 扮演着至关重要的角色。它允许开发者和交易者通过编程方式访问交易所的数据和功能，从而实现自动化交易、数据分析、以及开发各种交易工具。欧易 (OKX) 平台提供了功能强大的 API 接口，本文将详细介绍如何在欧易平台进行 API 接口设置，帮助你开启自动化交易之旅。

一、注册并登录欧易账户

你需要拥有一个欧易（OKX）账户，这是参与欧易平台所有交易活动的基础。如果你尚未注册，请务必前往欧易官方网站（ www.okx.com ）进行注册。请务必通过官方途径访问，以防钓鱼网站带来的安全风险。

注册过程通常需要你提供一个有效的邮箱地址或手机号码，用于接收验证码和重要通知。务必使用你常用的邮箱或手机，以便及时掌握账户动态。同时，你需要设置一个高强度的登录密码，密码应包含大小写字母、数字和特殊符号，并且长度至少为8位，以提高账户安全性。

在填写注册信息时，请务必确保所有信息的真实性和准确性，这将有助于你顺利通过后续的身份验证（KYC）流程。完成注册后，使用你设置的邮箱/手机号码和密码登录你的欧易账户。登录成功后，建议立即启用双重验证（2FA），例如Google Authenticator或短信验证，以进一步加强账户安全防护。

二、进入API管理页面

成功登录欧易账户后，为了进行API密钥的创建和管理，您需要导航至API管理页面。通常情况下，您可以在账户设置或个人中心找到与API相关的选项。请仔细查找类似“API”、“API管理”、“API密钥管理”或“开发者中心”等入口。具体位置可能因欧易平台界面版本更新而略有差异，但一般位于账户安全设置、账户信息管理或者专门的开发者服务区域。如果找不到相关入口，建议查阅欧易官方帮助文档或联系客服寻求指导。

三、创建新的 API 密钥

为了与交易所或其他加密货币平台进行交互，您需要创建一个 API 密钥。在 API 管理页面，通常会有一个明确的按钮或链接，例如“创建 API 密钥”、“生成密钥”或类似的提示。点击该按钮，系统将引导您开始创建新的 API 密钥。这个过程可能涉及提供一些基本信息，例如密钥的名称或描述，以便您日后识别和管理这些密钥。请务必为每个密钥选择一个具有描述性的名称，例如“交易机器人密钥”或“数据分析密钥”，以便清晰区分其用途。

四、填写API Key 信息

创建 API Key 时，需要填写一些必要的信息，这些信息至关重要，决定了 API Key 的功能范围和安全性。

API Key 名称 (Name): 为你的 API Key 设置一个易于识别且具有描述性的名称，例如“自动化交易机器人”、“数据分析”、“量化策略回测”或“内部监控服务”等。精心设计的名称能帮助你区分不同的 API Key 的用途，方便管理和维护。例如，如果专门用于止盈止损策略，可以命名为"止盈止损策略专用Key"。
绑定 IP 地址 (IP Address Restriction): 这是一个极其重要的安全设置，强烈建议启用。为了最大程度地降低 API Key 被恶意滥用的风险，务必绑定允许访问 API 的 IP 地址。你可以填写运行交易机器人的服务器的 IP 地址、你的个人电脑的公网 IP 地址，或者授权的其他服务的 IP 地址。IP 白名单是保护账户安全的关键环节。你可以通过访问类似"what is my ip"的在线服务或者在你的服务器上执行 curl ifconfig.me 命令来获取你的公网 IP 地址。
- 注意： 如果你需要允许来自多个 IP 地址的访问，可以将这些 IP 地址以逗号分隔的形式填写，例如： 192.168.1.100, 10.0.0.10, 203.0.113.45 。确保每一个 IP 地址都是正确的，并且是你信任的来源。
- 警告： 如果你不绑定 IP 地址，意味着任何知道你的 API Key 和 Secret Key 的人都可以在任何地方访问你的账户并进行操作。这将带来极其巨大的安全风险，可能导致资金损失。务必重视 IP 地址绑定，将其作为首要的安全措施。建议定期审查和更新 IP 地址列表，移除不再需要的 IP 地址。
交易权限 (Permissions): 交易所提供了多种交易权限，你需要根据你的实际应用场景选择合适的权限。过多的权限会增加安全风险，因此只授予 API Key 执行其必要功能所需的最小权限集。常见的权限包括：
- 只读 (Read Only): 只能访问账户信息（例如余额、持仓）和市场数据（例如价格、交易量），不能进行任何交易操作。该权限适用于数据分析、行情监控等场景。使用只读权限的 API Key 可以安全地用于开发和测试，而无需担心误操作导致资金损失。
- 交易 (Trade): 允许进行现货交易、杠杆交易、合约交易等。请根据你的实际交易需求选择具体的交易类型，例如仅允许现货交易，或仅允许特定合约的交易。务必仔细阅读交易所关于交易权限的说明文档，了解各种交易类型的风险和限制。
- 提币 (Withdraw): 允许从交易所账户提币。 强烈不建议 开放提币权限，除非你有非常充分的理由（例如自动提币系统），并且采取了极其严格的安全措施，例如双因素认证、提币地址白名单等。即使在需要提币权限的情况下，也建议设置每日提币限额，以降低潜在的损失。
- 资金划转 (Transfer): 允许在同一账户的不同子账户之间划转资金，例如从现货账户划转到合约账户，或者从主账户划转到交易机器人使用的子账户。该权限通常用于资金管理和策略调整。
- 查看杠杆倍数 (View Margin Ratio): 允许查看杠杆倍数信息，这对于风险管理和策略调整非常重要。一些交易策略可能需要根据杠杆倍数动态调整仓位。

重要提示：授予 API Key 的权限应该尽可能小，只授予必要的权限。例如，如果你的 API Key 只是用于获取市场数据，那么只需要授予“只读”权限即可。

启用/禁用 (Enable/Disable): 你可以随时启用或禁用你的 API Key。如果你怀疑你的 API Key 泄露或者不再使用，应该立即禁用它。

五、获取API Key和Secret Key

在成功填写并提交必要的API Key信息后，点击“创建”或“提交”按钮。系统将自动生成一对关键凭证，即API Key和Secret Key。务必妥善保管这两项信息，因为它们是访问和管理你的账户以及进行交易的关键。

API Key: 类似于你的账户用户名，是你在交易所或平台上的唯一身份标识符。它用于验证你的身份，以便系统知道是谁在发起请求。你可以将API Key视为公钥，用于公开地标识你的账户。
Secret Key: 类似于你的账户密码，是一个私密的密钥，用于对你的API请求进行签名。该签名证明请求是由你发起的，并且未经篡改。务必将Secret Key保密，切勿泄露给他人。任何拥有你的Secret Key的人都可以模拟你的行为，对你的账户造成风险。将其视为你账户的安全凭证，必须像保护你的银行账户密码一样小心。

非常重要：

Secret Key 只会显示一次，请务必妥善保管！ 这是访问和控制您账户的关键凭证。强烈建议您将其存储在极其安全的地方，例如使用高强度加密算法的密码管理器（如KeePass, 1Password），或者加密的数据库中。同时，务必创建备份，并将备份存储在不同的物理位置，以防止数据丢失或设备损坏。定期检查您的存储方案，确保其安全性仍然符合您的需求。
不要将 Secret Key 泄露给任何人！ 绝对不要以任何方式分享您的 Secret Key。泄露 Secret Key 意味着完全泄露了您的账户控制权限。拥有您 Secret Key 的人可以模拟您的身份，使用您的 API Key 进行未经授权的交易、提币操作，甚至篡改您的账户设置。务必警惕钓鱼攻击、恶意软件以及任何形式的社交工程欺骗，保护您的 Secret Key 不受侵害。
如果 Secret Key 丢失，你必须立即重新生成新的 API Key，并且更新所有使用该 API Key 的程序。 一旦发现 Secret Key 丢失或怀疑其已被泄露，请立即采取行动。撤销或删除当前 API Key，然后重新生成新的 API Key 和 Secret Key。务必更新所有使用旧 API Key 的应用程序、脚本、交易机器人和任何其他集成。这个过程是至关重要的，可以有效防止潜在的资金损失和安全风险。定期审查您的API Key使用情况，及时清理不再使用的 Key。

六、使用API Key进行身份验证

你现在已获取了 API Key 和 Secret Key，它们是你访问欧易API的凭证。务必妥善保管你的Secret Key，避免泄露。

API 请求需要通过 Secret Key 进行签名，以验证请求的真实性和完整性。以下是签名的详细步骤：

构建规范化的请求参数字符串： 将所有请求参数，包括查询参数和POST请求体中的参数，按照参数名称的字母顺序进行排序（区分大小写）。然后，将排序后的参数及其对应的值按照 `key=value` 的格式拼接成一个字符串。注意，如果参数值本身就是字符串，请确保其编码为 UTF-8。对于数组类型的参数，可能需要根据API的具体要求进行序列化。
时间戳的加入与时效性： 引入时间戳参数（通常命名为 `timestamp` 或 `nonce`），它代表了请求发送时的Unix时间戳（秒或毫秒）。欧易为了防止重放攻击，通常要求时间戳与服务器时间之间的偏差在可接受范围内，比如正负30秒或更短。超出此范围的请求将被拒绝。强烈建议每次API请求都使用当前服务器时间生成新的时间戳。
Secret Key 的增强安全性拼接： 将你的 Secret Key 直接拼接到上一步生成的规范化请求参数字符串的末尾，形成一个完整的待签名字符串。此步骤至关重要，因为Secret Key是验证身份的关键。
选择合适的哈希算法进行签名计算： 使用安全的哈希算法，通常是 HMAC-SHA256，对拼接后的字符串进行哈希运算。HMAC (Hash-based Message Authentication Code) 算法结合了密钥和哈希函数，提供了更高的安全性。确保选择与欧易API文档指定的哈希算法一致。
请求头中加入签名： 将计算得到的签名值添加到 HTTP 请求头中。通常，欧易使用 `OK-ACCESS-SIGN` 字段来传递签名，同时，还需要将 API Key 添加到 `OK-ACCESS-KEY` 字段中。另外，可能还需要 `OK-ACCESS-TIMESTAMP` 字段来传递时间戳。 Content-Type 通常是 `application/`，具体根据 API 接口的要求进行设置。

为了简化签名过程，各种编程语言和API客户端库通常提供了预构建的签名函数或工具包。这些工具能够自动处理参数排序、时间戳生成、哈希计算和请求头设置等步骤。建议使用这些工具，以减少手动操作的出错率，并提高开发效率。

例如，在 Python 中，可以使用 hmac 、 hashlib 和 base64 模块来生成签名。以下是一个示例代码：


import hmac
import hashlib
import base64
import time

def generate_signature(secret_key, message):
  """
  使用 Secret Key 生成符合欧易API规范的签名。

  Args:
    secret_key: 你的 Secret Key.
    message: 需要签名的字符串.

  Returns:
    签名字符串.
  """
  message = message.encode('utf-8')
  secret_key = secret_key.encode('utf-8')
  signature = hmac.new(secret_key, message, digestmod=hashlib.sha256).digest()
  signature = base64.b64encode(signature).decode('utf-8')
  return signature

在使用此代码示例时，请务必根据欧易 API 的最新文档进行调整。例如，API 文档可能会指定特定的时间戳格式，或其他签名相关的细节。未遵循这些细节可能导致 API 请求失败。

示例：

在加密货币交易中，API 密钥（ api_key ）和密钥（ secret_key ）是进行身份验证和授权的关键凭证。请务必妥善保管您的密钥，切勿泄露给任何第三方，以防止资产损失或账户被盗用。

api_key = "YOUR_API_KEY"
将 YOUR_API_KEY 替换为您交易所提供的 API 密钥。API 密钥用于标识您的账户。

secret_key = "YOUR_SECRET_KEY"
将 YOUR_SECRET_KEY 替换为您交易所提供的密钥。密钥用于生成签名，验证请求的真实性和完整性。

timestamp = str(int(time.time()))
时间戳（ timestamp ）表示请求发送的时间，通常以 Unix 时间戳格式表示（自 1970 年 1 月 1 日 00:00:00 UTC 以来的秒数）。时间戳用于防止重放攻击，确保请求的时效性。 time.time() 函数获取当前时间， int() 将其转换为整数， str() 将其转换为字符串。

request_path = "/api/v5/account/balance"
请求路径（ request_path ）指定了您要访问的 API 接口。例如， "/api/v5/account/balance" 用于获取账户余额。请根据您需要调用的 API 接口，修改此路径。不同交易所的 API 路径可能有所不同，请参考交易所的 API 文档。

http_method = "GET"
HTTP 方法（ http_method ）指定了请求的类型。常见的 HTTP 方法包括 GET 、 POST 、 PUT 、 DELETE 等。 GET 方法用于获取数据， POST 方法用于提交数据， PUT 方法用于更新数据， DELETE 方法用于删除数据。请根据 API 接口的要求，选择正确的 HTTP 方法。

request_body = ""
请求体（ request_body ）包含需要发送到服务器的数据。如果是 POST 请求，通常需要将数据以 JSON 或其他格式放入请求体中。例如，如果您要创建一个新的订单，可以将订单的参数（如交易对、价格、数量等）以 JSON 格式放入请求体中。对于 GET 请求，通常不需要请求体，因此将其设置为空字符串即可。

构建签名字符串

在加密货币 API 交互中，构建正确的签名字符串至关重要，它确保了请求的完整性和真实性。签名字符串是根据请求的各个组成部分计算出的哈希值，服务器使用相同的算法验证签名，从而确定请求是否被篡改或伪造。

构建签名字符串的第一步是组合请求的关键信息。通常，这包括以下几个要素，并按照特定的顺序连接起来：

时间戳 (timestamp) ：这是一个自 epoch (1970-01-01 00:00:00 UTC) 以来的秒数或毫秒数，它表示请求创建的时间。时间戳用于防止重放攻击，即攻击者捕获并重发合法的请求。为了增强安全性，服务器通常会拒绝时间戳与其当前时间相差太远的请求。
HTTP 方法 (http_method) ：这是用于发送请求的 HTTP 方法，例如 GET、POST、PUT 或 DELETE。必须使用大写形式，例如 "GET" 而不是 "get"。
请求路径 (request_path) ：这是 API 端点的路径，不包括域名和查询参数。例如，如果 API 的完整 URL 是 https://api.example.com/v1/orders?symbol=BTCUSD ，那么请求路径就是 /v1/orders 。
请求体 (request_body) ：这是请求中包含的数据，通常是 JSON 格式。如果请求没有请求体 (例如，GET 请求)，则使用空字符串。在计算哈希之前，需要对请求体进行规范化，例如对 JSON 对象中的键进行排序，删除不必要的空格等。

将这些要素按照指定顺序连接起来，形成一个字符串，通常称为 prehash 字符串：

prehash = timestamp + http_method + request_path + request_body

例如，如果时间戳是 1678886400 ，HTTP 方法是 POST ，请求路径是 /v1/orders ，请求体是 {"symbol": "BTCUSD", "quantity": 1} ，那么 prehash 字符串就是：

1678886400POST/v1/orders{"symbol": "BTCUSD", "quantity": 1}

下一步是对 prehash 字符串进行哈希处理，通常使用 SHA256 或其他加密哈希算法。哈希算法的选择由 API 提供商指定。哈希后的结果通常会进行 Base64 编码，以便在 HTTP 头部中传输。哈希结果和 Base64 编码后的字符串就是最终的签名。

在实际应用中，请务必参考 API 文档，了解构建签名字符串的具体步骤和要求，包括要素的顺序、格式和哈希算法。不正确的签名会导致请求被服务器拒绝。

生成签名

在加密货币和区块链技术中，生成签名是确保交易安全和验证身份的关键步骤。签名本质上是一种数字指纹，它与特定的交易或消息关联，并由私钥所有者创建。

signature = generate_signature(secret_key, prehash)

该公式表示签名生成的函数。 generate_signature 是一个函数，它接受两个参数： secret_key 和 prehash 。 secret_key 是用户的私钥，必须保密且安全存储。 prehash 是要签名的消息或交易的预哈希值。对消息进行哈希处理可以确保签名过程的高效性，并固定输入长度。常用的哈希算法包括 SHA-256 和 Keccak-256。

签名的生成过程通常涉及以下步骤：

预哈希处理 (Prehashing)： 需要签名的数据（例如交易数据）通过哈希函数进行处理，生成一个固定长度的哈希值，即 prehash 。哈希函数的选择取决于具体的加密算法和安全需求。
签名算法： 然后，将 prehash 和 secret_key 作为输入，使用特定的签名算法（如 ECDSA、Schnorr 签名等）生成签名。不同的加密货币和区块链平台可能采用不同的签名算法。
签名结果： 签名算法的输出是一个数字签名，通常由两部分组成（例如 ECDSA 中的 r 和 s）。这个签名可以用来验证消息的真实性和完整性。

在实际应用中，生成的签名将附加到交易或消息上，并广播到网络中。其他参与者可以使用与私钥对应的公钥来验证签名，从而确认交易的有效性和发起者的身份。

构建请求头

在使用OKX API进行身份验证和请求授权时，构建正确的HTTP请求头至关重要。这些头部信息包含了API密钥、签名、时间戳以及密码短语（如果已设置），服务端会通过验证这些信息来确认请求的合法性。

以下是一个Python字典，展示了如何构建这些必要的请求头：

headers = {
    "OK-ACCESS-KEY": api_key, # 你的API密钥，用于标识你的账户
    "OK-ACCESS-SIGN":  signature, # 基于请求内容、密钥和时间戳生成的数字签名，用于防止篡改
    "OK-ACCESS-TIMESTAMP": timestamp, # 发送请求时的时间戳，必须是UTC时间，且与服务器时间偏差不能太大
    "OK-ACCESS-PASSPHRASE": "YOUR_PASSPHRASE" # 如果你在OKX账户中设置了密码短语，则需要在此处提供
}

参数说明：

OK-ACCESS-KEY: 你的API密钥，由OKX平台提供。这是你访问API的身份凭证，务必妥善保管。
OK-ACCESS-SIGN: 请求签名，是安全机制的核心。你需要使用特定的算法（通常是HMAC SHA256）基于你的API密钥、时间戳和请求内容生成签名。这个签名用于验证请求的完整性和来源。
OK-ACCESS-TIMESTAMP: 时间戳，以协调客户端和服务器的时间。服务器通常会拒绝时间戳偏差过大的请求，以防止重放攻击。时间戳应该精确到秒或毫秒，并以UTC时间表示。
OK-ACCESS-PASSPHRASE: 如果你在OKX账户中设置了密码短语，则必须包含此头部。密码短语增加了账户的安全性，防止API密钥泄露后的未经授权访问。如果没有设置，则不需要包含此头部。

注意事项：

API密钥和密码短语是敏感信息，切勿泄露或硬编码到代码中。建议使用环境变量或其他安全的方式进行管理。
签名算法的具体实现细节请参考OKX API的官方文档。不同的API接口可能需要不同的签名方法。
确保时间戳的准确性。可以使用网络时间协议（NTP）服务器同步本地时间。
如果请求头不正确，服务器会返回相应的错误代码，例如400 Bad Request或401 Unauthorized。

发送 API 请求 (使用你喜欢的 HTTP 客户端库)

与 OKX API 交互的关键在于使用 HTTP 客户端库发送请求。你可以选择任何你熟悉的编程语言和相应的 HTTP 客户端库。以下示例使用 Python 的 requests 库来演示如何发送 GET 请求。

确保你已经安装了 requests 库。如果没有，可以使用以下命令安装：

pip install requests

接下来，你可以使用以下代码片段发送一个简单的 GET 请求：

import requests

# 定义请求路径 (request_path 应该替换为实际的 API 路径)
request_path = "/api/v5/public/time"  # 例如：获取服务器时间

# 定义请求头 (headers)
headers = {
    "Content-Type": "application/", # 设置 Content-Type，通常 API 使用 JSON 格式
    # "OK-ACCESS-KEY": "YOUR_API_KEY",   # 如果需要身份验证，在此处添加 API 密钥
    # "OK-ACCESS-SIGN": "YOUR_SIGNATURE", # 如果需要签名，在此处添加签名
    # "OK-ACCESS-TIMESTAMP": "YOUR_TIMESTAMP", # 如果需要时间戳，在此处添加时间戳
    # "OK-ACCESS-PASSPHRASE": "YOUR_PASSPHRASE" # 如果需要 passphrase，在此处添加 passphrase
}

# 构造完整的 URL
base_url = "https://www.okx.com"
url = base_url + request_path

# 发送 GET 请求
try:
    response = requests.get(url, headers=headers)
    response.raise_for_status()  # 检查请求是否成功，如果状态码不是 200，则抛出 HTTPError 异常

    # 打印响应内容
    print(response.())  # 将 JSON 格式的响应内容转换为 Python 字典并打印

except requests.exceptions.RequestException as e:
    print(f"请求出错: {e}") # 捕获并打印请求过程中可能出现的异常，例如网络错误、超时等

请注意以下几点：

request_path 需要替换为你要访问的实际 API 端点路径。例如， /api/v5/public/time 用于获取服务器时间。
headers 字典用于设置 HTTP 请求头。一些 API 可能需要特定的请求头，例如 Content-Type , OK-ACCESS-KEY (API密钥), OK-ACCESS-SIGN (签名), OK-ACCESS-TIMESTAMP (时间戳) 和 OK-ACCESS-PASSPHRASE (密码短语)。根据 API 的要求进行设置。示例中注释掉了需要身份验证的头，在使用时需要根据实际情况启用并填充。
response.raise_for_status() 用于检查响应的状态码。如果状态码表示错误（例如 400, 401, 500），它将引发一个 HTTPError 异常。
response.() 将响应内容解析为 JSON 格式，并将其转换为 Python 字典。如果 API 返回的不是 JSON 格式的数据，则需要使用其他方法来解析响应内容。
错误处理至关重要。使用 try...except 块来捕获请求过程中可能出现的异常，例如网络错误、超时等。

对于需要身份验证的 API 请求，你需要根据 OKX API 文档的要求生成签名，并将其包含在请求头中。具体的签名生成方法请参考 OKX API 的官方文档。

七、测试API Key

成功创建并完成API Key的各项权限配置后，强烈建议立即执行API Key的有效性测试，以此验证其是否能够按照预期正常运行，以及权限设置是否符合实际需求。您可以选择使用现有的API客户端库（例如Python的 requests 库结合交易所提供的SDK），或直接采用命令行工具 curl 来构造并发送一个简单的API请求。一个常见的测试用例是发送一个查询账户余额的请求，该请求旨在获取与API Key关联账户的资产信息。如果API服务器成功响应并返回了账户余额等相关数据，则可以确认API Key的配置和权限设置均已正确生效。反之，如果请求失败并返回错误信息，则需要仔细检查API Key的权限设置、请求参数、签名算法以及网络连接等方面是否存在问题，并根据错误信息进行相应的调整和修正，直至API Key能够正常工作为止。

八、安全注意事项

定期更换 API Key： 为了最大限度地提高账户安全性，强烈建议定期更换 API Key。API Key 一旦泄露，可能导致未经授权的访问和潜在的资金损失。建议制定一个明确的 API Key 更换周期，例如每月或每季度更换一次。更换后，务必在所有使用该 API Key 的应用程序或脚本中更新新的 Key。
监控 API Key 的使用情况： 欧易平台通常提供 API 使用情况监控功能，允许用户跟踪 API 调用的各项指标。务必定期检查 API 的调用次数、频率、请求来源 IP 地址、以及错误率。如果发现任何异常活动，例如来源不明的 IP 地址的频繁调用或显著的错误率上升，应立即采取行动，例如禁用该 API Key 并调查原因。同时，设置警报机制，当API调用超过预设阈值时自动发送通知。
使用 HTTPS： 务必确保所有与欧易 API 的通信都通过 HTTPS（安全超文本传输协议）进行。HTTPS 通过 SSL/TLS 协议对数据进行加密，防止数据在传输过程中被窃听或篡改。永远不要使用 HTTP 协议发送 API 请求，因为 HTTP 协议传输的数据是未加密的，容易受到中间人攻击。检查你的 API 请求 URL 是否以 `https://` 开头。
阅读官方文档： 在开始使用欧易 API 接口之前，必须认真阅读并理解欧易官方提供的最新 API 文档。官方文档包含了 API 的详细使用说明、参数说明、请求示例、响应格式、以及错误代码列表。理解 API 的工作原理、参数含义以及可能的错误情况，能够帮助你避免常见的错误，更有效地利用 API，并提高程序的健壮性。关注官方文档的更新，及时了解 API 的最新变化和安全提示。
实施IP访问限制： 为了进一步增强安全性，可以考虑设置 IP 访问限制，只允许特定的 IP 地址或 IP 地址范围访问 API。这样即使 API Key 泄露，未经授权的 IP 地址也无法使用 API。
使用双因素认证 (2FA)： 启用双因素认证可以为您的账户增加额外的安全保护。即使您的密码泄露，攻击者也需要提供第二种身份验证方式才能登录您的账户。
权限最小化原则： 在创建 API Key 时，遵循权限最小化原则。只授予 API Key 执行其必要功能的最小权限集合。例如，如果您的应用程序只需要读取市场数据，则不要授予其交易权限。
代码安全审查： 定期审查您的 API 集成代码，确保代码没有安全漏洞，例如硬编码的 API Key 或不安全的输入验证。
风险控制： 设置交易限制和止损订单，以降低潜在的损失风险。