币安 API 密钥怎么创建管理避免被盗用
币安(Binance) API 密钥创建:选权限 + IP 白名单 + 定期更换。BiabaApp 详解 API 安全。
币安(Binance)API 密钥(API Key)让程序自动操作账户(量化交易、行情监控、自动交易等)。安全要点:1)创建时选择最小必要权限(只读 / 现货 / 合约,能少不多);2)启用 IP 白名单(只允许特定 IP 调用);3)禁用提币权限(除非真的需要);4)定期检查 API 列表删除不用的;5)API 密钥用密码管理器保管。BiabaApp 这篇详解。
新用户准备开始,可以先到 币安官网 完成账户注册,再下载 币安官方App;想看下载图解走 App 下载 页面。
第 1 步:API 是什么
A:让程序代替人操作账户的密钥。
| API 用途 | 例子 |
|---|---|
| 量化交易 | 自动套利 |
| 行情数据 | K 线下载 |
| 资产监控 | 实时余额 |
| 自动交易 | 网格 / DCA |
| 第三方应用 | TradingView 等 |
API 是机构和量化用户必备。
第 2 步:API 权限分类
A:只读、现货 + 合约、提币。
| 权限 | 用途 |
|---|---|
| Read-Only(只读) | 看行情、看资产 |
| Spot 现货 | 现货下单 |
| Futures 合约 | 合约下单 |
| Margin 杠杆 | 借币 |
| Withdraw 提币 | 提币(高危) |
最小权限原则——能少不多。
第 3 步:创建 API
A:用户中心 → API 管理 → 创建。
| 步骤 | 操作 |
|---|---|
| 用户中心 | 头像 |
| 「API 管理」 | 找 |
| 「创建 API」 | 点 |
| 选类型 | 系统生成或自助生成 |
| 输入名称 | 描述用途 |
| 邮件 + 短信 + 2FA | 验证 |
| 生成 API Key + Secret | 立即 |
Secret 只显示一次,必须保存。
第 4 步:API Key 和 Secret
A:Key 公开,Secret 永远私密。
| 标识 | 性质 |
|---|---|
| API Key | 公开(标识身份) |
| Secret | 永远私密 |
| 显示一次 | Secret 只一次 |
| 不能再看 | Secret |
| 丢了要重新生成 | Secret |
Secret 像私钥,泄漏 = 账户危险。
第 5 步:IP 白名单
A:只允许特定 IP 调用 API。
| IP 白名单 | 必备 |
|---|---|
| 量化服务器固定 IP | 必填 |
| 多 IP | 用逗号分隔 |
| 0.0.0.0/0 | 不安全 |
| 不填 | 无限制(高危) |
| 改 IP | 重新设置 |
IP 白名单大幅降低被盗风险。
中段提醒:还没下载币安 App 的用户先到 币安官网 完成注册,再下载 币安官方App,更多安全见 安全设置 分类。
第 6 步:禁用提币权限
A:默认关闭,量化不需要。
| 提币权限 | 风险 |
|---|---|
| 关闭 | 推荐(绝大多数场景) |
| 开启 | 高危 |
| 量化 | 不需要 |
| 自动转账场景 | 需谨慎 |
| API 被盗后 | 提币权限决定损失 |
99% 的 API 应用不需要提币权限。
第 7 步:API 用法示例
A:Python ccxt 是最常用库。
| 库 | 适合 |
|---|---|
| ccxt(Python) | 多交易所统一 |
| binance-api-node | Node.js |
| binance-go | Go |
| 自定义 | 直接 REST |
| 量化平台 | TradingView 等 |
新手用 ccxt 最简单。
第 8 步:API 调用频率限制
A:REST 1200 次/分,WebSocket 不限。
| 限制 | 数值 |
|---|---|
| REST 普通 | 1200 次/分 |
| REST 订单 | 50 次/10 秒 |
| WebSocket | 不限连接数 |
| 超限 | 暂时封禁 |
| VIP | 较高限额 |
高频量化注意限频。
第 9 步:API 安全 checklist
A:最小权限 + IP 白名单 + 禁用提币 + 定期更换。
| 安全项 | 必备 |
|---|---|
| 最小权限 | 只勾必要 |
| IP 白名单 | 必填 |
| 禁用提币 | 默认 |
| Secret 保密 | 密码管理器 |
| 定期更换 | 6-12 月 |
| 不用的删除 | 是 |
| 不上传到 GitHub | 必备 |
完整 checklist 是 API 安全基础。
第 10 步:API 被盗的处理
A:立即删除 API + 改账户密码。
| 应急 | 操作 |
|---|---|
| 删除该 API | 用户中心 |
| 检查所有 API | 列表 |
| 改账户密码 | 必备 |
| 改 2FA | 推荐 |
| 检查提币历史 | 是 |
| 客服工单 | 严重时 |
API 被盗也是账户被盗。
API 不上 GitHub 公开
A:意外公开 = 账户秒空。
| 不该做 | 后果 |
|---|---|
| Secret 提交 GitHub | 几分钟被扫 |
| 在论坛分享代码含 Secret | 被盗 |
| 给朋友看代码忘删 | 被盗 |
| 存网盘明文 | 风险 |
| 用 .env 文件 | 必加 .gitignore |
GitHub 有自动扫描程序,公开 Secret 几分钟被盗。
子账户 API
A:子账户独立 API,权限隔离。
| 子账户 API | 优势 |
|---|---|
| 主子账户独立 | 风险隔离 |
| 子账户限额 | 设置 |
| 主账户监控 | 是 |
| VIP 用户专属 | 是 |
| 量化策略 | 分隔 |
机构用户必学子账户 API。
常见问题(FAQ)
Q:新手要不要创建 API? A:新手不需要。API 是为量化交易、第三方应用、机构服务设计的。普通用户用 App 或网页版交易就够了。如果你不写代码、不用 TradingView 等需要 API 的工具,不需要创建 API。
Q:API Secret 丢了能找回吗? A:不能。Secret 在创建时只显示一次,关闭页面后永远看不到。如果丢了:1) 删除该 API;2) 重新创建一个新的(Key + Secret 都是新的);3) 在你的程序里更新新的 Secret。币安没有「找回 Secret」功能。
Q:API 一定要 IP 白名单吗? A:强烈推荐。即使你的 Secret 泄漏,IP 白名单能拦截攻击者(攻击者的 IP 不在白名单无法调用 API)。IP 白名单是 API 安全的核心。如果你的 IP 不固定(家庭宽带),可以填多个或用云服务器固定 IP 的方案。
Q:API 提币权限有什么用? A:让程序自动提币(如自动套利后把利润转到冷钱包)。但风险极高——API 被盗后攻击者可以提光资产。99% 的 API 应用不需要提币权限。如果真需要,1) 必须 IP 白名单;2) 必须提币白名单;3) 设额度限制。
Q:API 调用次数超限怎么办? A:超过 REST 限频(1200 次/分钟)会暂时封禁(10 秒-1 分钟)。处理:1) 优化代码减少不必要调用;2) 用 WebSocket 替代 REST 拉行情(不限频);3) 升级 VIP 等级享更高限额;4) 多 API 密钥分散调用。
Q:API 被盗的征兆? A:1) 账户出现你没下的订单;2) 资产突然减少(如果有提币权限);3) 现货账户出现非你交易的币种;4) 邮件收到 API 调用提醒(你没操作)。任一征兆立即删 API + 改密码 + 检查所有设置。
写在最后
币安 API 密钥(API Key)让程序自动操作账户(量化交易、行情监控、自动交易等)。安全要点:1)创建时选择最小必要权限(只读 Read-Only / 现货 Spot / 合约 Futures,能少不多,量化不需要提币 Withdraw 权限);2)启用 IP 白名单(必填特定 IP,没填等于不安全,IP 不固定可填多个或用云服务器固定 IP);3)禁用提币权限(99% 场景不需要,开启后 API 被盗损失巨大);4)Secret 只在创建时显示一次(用密码管理器保管,丢了只能删除重建);5)定期检查 API 列表(用户中心 → API 管理)删除不用的;6)API Key 和 Secret 永远不上 GitHub 公开(GitHub 有自动扫描程序,几分钟内被盗);7)每 6-12 个月更换 Secret。新手不需要创建 API(普通用户用 App / 网页交易就够了)。被盗征兆:账户出现你没下的订单、资产突然减少、邮件收到 API 调用提醒。任一征兆立即删 API + 改密码 + 检查设置。新手用 Python ccxt 库最简单(多交易所统一接口)。机构用户用子账户 API 实现风险隔离 + 限额 + 主账户监控。
加密资产价格波动剧烈,本文不构成投资建议。可以从 币安官网 完成注册,再下载 币安官方App,更多安全设置内容见 安全设置 分类。
BiabaApp 是独立第三方文档站,与 Binance 公司没有任何隶属、代理或商业合作关系。