Binance & Bybit API 密钥配置详细教程

一、前言

本文旨在提供一份详尽的 Binance 和 Bybit API 密钥配置指南。API（应用程序编程接口）允许开发者安全且高效地与交易所的服务器交互，实现数据抓取、订单管理和资产监控等功能。通过API，您可以方便地访问交易所的实时市场数据、历史交易数据，执行预先设定的交易策略，并自动化您的加密货币交易流程。自动化交易不仅可以节省时间和精力，还能提升交易效率，降低人为错误的风险。在使用API之前，请务必了解交易所的相关条款和限制，例如频率限制、交易限制等。请务必保管好您的API密钥，切勿将其存储在公共或不安全的存储位置。避免泄露给他人，或者在公开的论坛、代码仓库中分享。定期更换API密钥是一个良好的安全习惯，以保障您的账户及资产安全。务必启用双重验证（2FA），并监控API密钥的使用情况，以便及时发现和处理潜在的安全问题。API密钥泄露可能导致未经授权的交易，甚至资产损失。

二、Binance API 密钥配置

2.1 登录 Binance 账户

您必须登录您的 Binance 账户才能开始使用其提供的各项服务。如果您尚未拥有 Binance 账户，则需要完成注册流程。注册过程通常需要提供您的电子邮件地址、设置安全密码，并可能需要通过身份验证，具体取决于您所在的地区和 Binance 的 KYC（了解您的客户）政策。完成注册后，请使用您的注册凭证安全登录。

2.2 进入 API 管理页面

成功登录平台后，找到并点击页面右上角的个人中心图标。在下拉菜单中，选择 "API 管理" (API Management) 选项。这将引导您进入 API 管理控制台，您可以在此创建、配置、监控和管理您的 API 密钥，并访问相关的开发者文档。

2.3 创建 API 密钥

• 在 API 管理页面，找到创建 API 密钥的区域。这里，您需要提供一个易于识别的标签 (Label)，以便于您区分不同的 API 密钥。例如，您可以将其命名为 "My Trading Bot"、"Portfolio Tracker" 或任何其他能够清晰描述该密钥用途的名称。良好的标签习惯可以帮助您在拥有多个 API 密钥时更好地管理它们。
• 点击 "创建 API" (Create API) 按钮。系统将开始生成新的 API 密钥对。请注意，这个过程可能需要几秒钟的时间。
• 为了确保账户安全，如果您的 Binance 账户启用了两步验证 (2FA)，系统会要求您完成身份验证。这通常涉及输入通过 Google Authenticator、短信或其他 2FA 应用生成的验证码。这是保护您账户的重要步骤，请务必妥善保管您的 2FA 设备。
• 成功创建后，系统会显示您的 API 密钥 (API Key) 和私钥 (Secret Key)。API 密钥相当于您的用户名，用于识别您的身份；私钥则相当于您的密码，用于验证您的交易请求。请务必妥善保管您的私钥，切勿将其泄露给任何人。私钥泄露会导致您的资产面临风险。建议使用安全的密码管理工具存储这些信息。同时，某些平台会提供限制API权限的功能，强烈建议只开启交易所需的权限，例如只允许交易，不允许提现等。

重要提示:

• 务必妥善保管您的 Secret Key。这是您唯一一次看到 Secret Key 的机会。 Secret Key 是访问 API 的关键凭证，请将其视为账户的最高权限密钥。如果遗失或泄露 Secret Key，可能导致资金损失或数据泄露。一旦忘记 Secret Key，您将无法恢复，必须删除当前 API 密钥并重新创建一个新的。请务必在安全的地方备份 Secret Key。
• API Key 类似于用户名，Secret Key 类似于密码。 API Key 用于标识您的身份，而 Secret Key 用于验证您的请求。两者共同构成访问 API 的凭证体系。请务必区分对待，并采取相应的安全措施。
• 不要将 API Key 和 Secret Key 分享给任何人。 将 API Key 和 Secret Key 分享给他人相当于将您的账户权限拱手让人。任何持有这些密钥的人都可以访问您的账户并执行操作，从而造成不可挽回的损失。务必对 API Key 和 Secret Key 保密。
• 建议使用安全的密码管理器来保存 API Key 和 Secret Key。 密码管理器可以安全地存储和管理您的 API Key 和 Secret Key，防止密钥泄露或丢失。选择信誉良好且经过安全审计的密码管理器，并设置强密码以保护您的密码管理器账户。定期更新密码管理器的密码，并开启双重验证，可以进一步增强安全性。

2.4 配置 API 权限

成功创建 API 密钥之后，为了账户安全和精细化控制，您必须配置 API 的权限，以此明确限定 API 密钥能够执行的操作范围。这就像为您的账户设置了多重安全防护，避免未经授权的操作。

• 在 API 管理页面，找到您刚刚生成的 API 密钥。API 管理页面通常位于交易所或平台的账户安全设置中。
• 点击 "编辑限制" (Edit restrictions)。这个按钮通常以明显的图标或链接形式出现，引导您进入权限配置界面。

• 您可以根据实际需求细粒度地设置以下权限：

  • 读取 (Read): 允许 API 读取您的账户信息，比如账户余额、交易历史、持仓情况等。这是最基本的权限，许多数据分析和监控工具需要此权限。
  • 启用交易 (Enable Trading): 允许 API 执行交易操作，包括下单、撤单等。 强烈建议您谨慎启用此权限，务必在充分理解 API 的运行机制和潜在风险之后再做决定。 启用此权限意味着您授权 API 自动进行交易，存在一定的风险。
  • 启用提现 (Enable Withdrawals): 允许 API 将资金从您的账户提取到其他地址。 除非您对该 API 的开发者或提供者拥有绝对的信任，否则绝对不要启用此权限。 一旦启用此权限，您的资金将面临极高的风险，可能导致资金被盗。绝大多数情况下，出于安全考虑，都不应该开启此选项。
  • 允许访问限制 IP (Restrict access to trusted IPs only): 强烈建议您启用此选项，并设置允许访问的 IP 地址白名单，从而限制 API 只能从您指定的 IP 地址访问。这能够有效防止 API 密钥泄露后，攻击者从其他未知 IP 地址非法访问您的账户，极大地增强了账户的安全性。即使 API 密钥被盗，攻击者也无法通过其他 IP 地址进行操作。

• 根据您的实际需求精细化地设置权限。比如，如果您的 API 应用仅仅需要读取账户数据进行分析，那么只需启用 "读取" 权限即可。如果您计划使用 API 进行自动交易，那么您需要同时启用 "读取" 和 "启用交易" 权限，以便 API 能够获取账户信息并执行交易指令。

• 设置完成后，仔细检查确认所有权限配置无误，然后点击 "保存" (Save)。
• 出于安全考虑，您可能需要通过再次完成两步验证（例如 Google Authenticator 或短信验证）来确认并最终保存权限设置。这是为了确保权限变更操作确实是由账户所有者本人发起的。

2.5 删除 API 密钥

为了保障账户安全，当您确定某个 API 密钥不再被使用，或者怀疑该密钥可能已经泄露，例如不慎提交到了公共代码仓库或被未授权方访问，立即删除该 API 密钥是至关重要的安全措施。

删除 API 密钥的操作不可逆，一旦删除，该密钥将立即失效，任何使用该密钥发起的 API 请求都将被拒绝。因此，在删除之前，请务必确认所有依赖于该密钥的应用程序或服务都已经停止使用，并且已经更新到新的 API 密钥（如果需要）。

• 在 API 管理页面，找到您要删除的 API 密钥。

  登录您的交易所、钱包或其他加密货币服务提供商的账户，导航至 API 密钥管理页面。通常，该页面位于账户设置或安全设置部分。在列表中找到您不再需要的特定 API 密钥。请仔细核对密钥的名称、描述或其他属性，以确保您选择的是正确的密钥。

• 点击 "删除" (Delete) 按钮。

  找到对应 API 密钥条目旁边的“删除”、“撤销”或类似的按钮。不同平台的命名可能有所不同，但功能都是相同的：触发删除 API 密钥的流程。

• 确认删除。

  系统通常会弹出一个确认对话框，要求您再次确认是否真的要删除该 API 密钥。 这通常是为了防止误操作。阅读确认信息，确保您理解删除该密钥的后果。某些平台可能需要您输入密码、验证码或进行其他身份验证步骤，以确保是账户所有者发起的删除请求。确认后，API 密钥将被永久删除。

  删除后，请检查与该密钥相关联的所有应用程序和服务，确保它们不会再尝试使用该密钥，否则会收到错误信息。

三、Bybit API 密钥配置

3.1 登录 Bybit 账户

要开始您的 Bybit 交易之旅，首先需要安全登录您的个人账户。如果您已拥有 Bybit 账户，请访问 Bybit 官方网站或打开 Bybit 应用程序，输入您注册时使用的邮箱地址或手机号码以及对应的密码。在登录过程中，请务必留意任何安全提示，例如双重验证 (2FA)，以确保您的账户安全。如果忘记密码，请使用“忘记密码”功能重置。

如果您尚未拥有 Bybit 账户，则需要在 Bybit 平台注册一个新账户。注册过程通常需要提供您的邮箱地址或手机号码，并设置一个安全的密码。部分地区可能还需要进行身份验证 (KYC) 以符合当地法规。请务必仔细阅读并同意 Bybit 的服务条款和隐私政策，然后再完成注册过程。注册成功后，您就可以使用新创建的账户登录 Bybit 平台。

3.2 进入 API 管理页面

成功登录您的账户后，请将鼠标指针悬停在页面右上角显示的用户名区域。这将触发一个下拉菜单的显示。

在下拉菜单中，找到并点击名为 "API" 的选项。点击后，您将被重定向到 API 管理页面，该页面是您配置和管理 API 密钥的关键区域。

在 API 管理页面，您可以创建新的 API 密钥，查看现有密钥的详细信息（例如密钥ID、创建日期、状态等），编辑密钥的权限和访问范围，甚至可以禁用或删除不再需要的密钥。请务必妥善保管您的 API 密钥，避免泄露，以确保账户安全。

不同的平台或交易所，API管理页面的布局和功能可能会有所不同，但核心功能基本类似，都是为了方便用户管理与API相关的操作。

3.3 创建 API 密钥

• 在 API 页面，查找并点击 "创建新密钥" (Create New Key) 按钮。这将引导您进入 API 密钥创建流程。

• 您可以选择 API 密钥的生成方式，Bybit 提供了两种选择：

  • 系统生成 API 密钥 (System-generated API Key): 这是最常见的选择，Bybit 的系统会自动为您生成一个唯一的 API 密钥。这种方式简单快捷，推荐新手使用。
  • 自定义 API 密钥 (Custom API Key): 允许您自定义 API 密钥的前缀部分。 虽然提供了个性化选项，但安全性与系统生成密钥相同。
• 建议新手选择 "系统生成 API 密钥"，因为它更加便捷安全，易于管理。

• 填写以下关键信息，以配置您的 API 密钥：

  • API 密钥名称 (API Key Name): 为您的 API 密钥设置一个描述性的名称，例如 "My Trading Bot" 或 "Arbitrage Bot"。方便您日后识别和管理不同的 API 密钥。
  • 权限 (Permissions): 这是 API 密钥最重要的设置。 选择恰当的权限至关重要，务必遵循最小权限原则。 Bybit 提供的权限选项包括：
    • 只读 (Read Only): 允许 API 访问您的账户信息，例如余额、持仓和交易历史。 此权限非常适合用于监控账户或进行数据分析，但无法进行任何交易操作。
    • Trade: 允许 API 代表您进行交易，包括下单、撤单等。 必须谨慎授予此权限，仅在您完全信任相关应用程序或机器人时才使用。
    • Withdraw: 允许 API 从您的账户中提取资金。 出于安全考虑，强烈不建议启用此权限。 除非您有充分的理由，否则应始终禁用此权限。 即使在非常确定的情况下使用，也务必严格限制提币地址。
    • Contract Trade: 允许 API 进行合约交易，例如开仓、平仓、设置止损止盈等。 与现货交易类似，需要谨慎使用此权限，并确保您的交易策略和风险控制措施到位。
    • Spot Trade: 允许 API 进行现货交易，例如买入和卖出数字货币。同样需要对交易策略和风险控制有充分的理解。
  • IP 访问限制 (IP Access Restriction): 为了提高安全性，强烈建议您限制 API 只能从特定的 IP 地址访问。 这可以防止未经授权的访问，即使 API 密钥泄露，攻击者也无法使用。 您可以选择以下选项：
    • 不限制 (No Restriction): 允许 API 从任何 IP 地址访问。 不建议选择此选项，因为它会大大增加安全风险。
    • 允许受信任 IP 地址 (Allow trusted IP addresses only): 只允许从您指定的 IP 地址访问。 这是推荐的选项，您可以添加您运行交易机器人或应用程序的服务器 IP 地址。
• 仔细权衡您的需求，然后设置适当的权限和 IP 访问限制。 权限设置应遵循最小权限原则，即仅授予 API 完成其任务所需的最低权限。
• 点击 "提交" (Submit) 按钮，确认您的 API 密钥配置。
• 根据 Bybit 的安全策略，您可能需要完成两步验证 (2FA)，例如输入 Google Authenticator 代码或短信验证码。
• 成功创建后，您会看到您的 API 密钥 (API Key) 和 API 密钥密码 (API Secret)。 请务必妥善保管这些信息，不要泄露给任何人。 API 密钥密码 (API Secret) 只会显示一次，如果丢失，您需要重新生成 API 密钥。

重要提示:

• 务必妥善保管您的 API Secret。这是您唯一一次看到 API Secret 的机会，它如同您账户的最高权限密钥。 一旦 API Secret 丢失或遗忘，我们将无法恢复。您需要删除当前 API 密钥，创建一个新的密钥对，并更新所有使用旧密钥的应用或脚本。请务必理解，API Secret 的泄露可能导致严重的财务风险和数据安全问题。
• API Key 类似于用户名，用于识别您的身份；API Secret 类似于密码，用于验证您的访问权限。 API Key 是公开的，可以用于在请求中标识您的账户，而 API Secret 必须严格保密，用于生成安全签名，确保请求的真实性和完整性。 简单来说，API Key 告诉服务器“我是谁”，API Secret 告诉服务器“我说了算”。
• 切勿将 API Key 和 API Secret 分享给任何人。 分享 API Key 和 API Secret 等同于将您的银行账户密码告知他人。 这将允许他们以您的名义进行交易、访问您的数据，甚至完全控制您的账户。请务必记住，交易所或平台官方人员永远不会主动向您索要 API Secret。谨防钓鱼诈骗。
• 强烈建议使用安全的密码管理器（例如 Bitwarden、LastPass 或 1Password）来安全地保存 API Key 和 API Secret。 密码管理器可以安全地存储您的密钥，并提供自动填充功能，方便您在需要时使用。 同时，一些密码管理器还提供双因素认证和安全审计功能，进一步增强安全性。 选择一个信誉良好、经过安全审计的密码管理器至关重要。您也可以选择离线保存，但请确保物理存储介质的安全。

3.4 修改 API 密钥权限

您可以根据自身需求，随时修改已创建 API 密钥的权限，以调整其访问范围和功能。这有助于提升账户安全，防止未授权操作。

• 在 API 管理页面，通常位于账户设置或安全中心，找到您需要调整权限的特定 API 密钥。您可以通过密钥名称、创建时间或访问权限等信息进行查找。
• 点击与该密钥关联的 "修改" (Modify) 或 "编辑" 按钮。不同平台界面可能略有差异，但功能类似。
• 根据您的策略，详细修改 API 密钥的访问权限。例如，您可以限制其进行交易的币种、禁用提现功能、或者只允许读取市场数据。还可以配置 IP 访问限制，只允许来自特定 IP 地址的请求使用该密钥，进一步增强安全性。务必仔细审查每一项权限设置，确保符合您的业务需求。
• 确认所有修改无误后，点击 "提交" (Submit) 或 "保存" 按钮。
• 为了保障账户安全，系统通常会要求您完成两步验证 (2FA)。根据您设置的验证方式，输入收到的验证码或通过验证器应用进行确认。如果未启用两步验证，强烈建议您立即启用，以提升账户安全性。

3.5 删除 API 密钥

在API密钥不再需要，或存在泄露风险时，应立即采取删除措施以保障账户安全。泄露的API密钥可能被恶意利用，导致数据泄露或未经授权的交易行为。

API密钥的删除过程如下，务必谨慎操作，删除后关联的应用将无法通过该密钥访问相关API：

• 定位目标API密钥： 在API管理页面，仔细查找并确认需要删除的特定API密钥。通常会有一个列表显示所有已创建的API密钥及其相关信息，如密钥名称、创建时间、权限范围等。
• 执行删除操作： 找到目标密钥后，点击对应的"删除"按钮。按钮标签可能为"删除"、"Delete"、"移除"等，具体取决于平台设计。请注意，删除操作通常不可逆，务必谨慎。
• 确认删除： 系统会弹出确认对话框，再次提示删除操作的风险，例如应用将无法访问API。确认您确实要删除该密钥，并按照提示完成删除流程。可能需要输入密码或进行二次身份验证。

删除API密钥后，务必更新所有使用该密钥的应用或服务，防止其尝试使用无效密钥导致错误。建议立即生成并配置新的API密钥替代已删除的密钥，确保服务的连续性。

四、安全注意事项

• 永远不要将您的 API Key 和 Secret Key (或 API Secret) 分享给任何人。 您的 API 密钥和密钥是访问您账户的凭证，如同银行密码。泄露给他人可能导致资金损失、数据泄露或其他安全风险。请务必妥善保管，切勿通过任何不安全的渠道传输。
• 启用两步验证 (2FA) 以增强您的账户安全。 两步验证 (2FA) 在您输入密码之外，增加了一层安全保障，通常通过手机 App 生成的动态验证码实现。即使密码泄露，攻击者也无法在没有验证码的情况下访问您的账户。强烈建议您为所有支持 2FA 的平台启用此功能。
• 限制 API 的权限，只授予 API 执行其所需操作的最小权限。 最小权限原则是信息安全的基础。为 API 设置权限时，只允许其执行必要的读写操作。例如，如果 API 只需要读取市场数据，则不应授予其交易或提款的权限。这将有效降低 API 密钥泄露带来的潜在风险。
• 设置 IP 访问限制，只允许 API 从您信任的 IP 地址访问。 通过设置 IP 访问限制，您可以指定允许访问 API 的特定 IP 地址。这意味着即使 API 密钥泄露，未经授权的 IP 地址也无法使用该密钥。此举可以显著增强 API 的安全性，尤其是在已知 API 使用场景的情况下。
• 定期检查您的 API 密钥使用情况，如果发现异常，立即删除 API 密钥并创建新的。 定期审查 API 密钥的活动日志，检查是否存在异常交易、未经授权的访问或其他可疑行为。如果发现任何异常，应立即删除旧的 API 密钥并生成新的，同时调查异常情况的原因，并采取相应的补救措施。
• 如果您的 API 密钥泄露，立即删除该 API 密钥并创建一个新的。 一旦怀疑 API 密钥可能已泄露，必须立即采取行动。删除旧的 API 密钥并创建一个新的，以阻止攻击者利用泄露的密钥访问您的账户。同时，检查账户中是否存在未经授权的活动，并及时采取措施挽回损失。
• 使用安全的密码管理器来保存 API Key 和 Secret Key (或 API Secret)。 密码管理器可以安全地存储和管理您的 API 密钥和密码，防止它们被盗或丢失。选择信誉良好、安全性高的密码管理器，并确保启用其所有安全功能，例如主密码、两步验证等。避免将 API 密钥明文存储在本地文件或云盘中。

五、常见问题

• 忘记了 Secret Key (或 API Secret) 怎么办？

  由于安全原因，Secret Key (或 API Secret) 一旦丢失，将无法恢复。Secret Key 是用于对 API 请求进行签名的私钥，一旦泄露，可能导致资金损失。因此，最安全的做法是立即删除当前 API 密钥，并创建一个新的 API 密钥对。在创建新的 API 密钥时，务必妥善保管 Secret Key，例如使用密码管理器进行安全存储，并定期备份。

• API 密钥被盗用了怎么办？

  如果怀疑 API 密钥被盗用，必须立即采取行动。立即删除被盗用的 API 密钥，以防止进一步的未经授权的访问。然后，创建一个新的 API 密钥对，并更新所有使用该 API 密钥的应用程序或脚本。同时，务必仔细检查您的账户是否有异常交易，例如未经授权的提现或交易。如有发现，请立即联系交易所的客服部门，并提交相关的证据进行申诉。为了防止类似事件再次发生，建议启用双重身份验证 (2FA)，并定期审查您的 API 密钥使用情况。

• API 无法连接到交易所怎么办？

  API 连接问题可能由多种原因引起。仔细检查您的 API Key 和 Secret Key (或 API Secret) 是否正确。请注意，区分大小写，并确保没有复制错误。检查您的 API 权限是否已正确配置。不同的交易所可能提供不同的 API 权限选项，例如只读权限、交易权限和提现权限。确保您的 API 密钥具有执行所需操作的必要权限。另外，检查您的 IP 访问限制是否已正确设置。某些交易所允许您限制 API 密钥的访问 IP 地址，以提高安全性。确保您的应用程序或脚本的 IP 地址已添加到允许列表中。检查交易所的 API 是否正常运行。交易所可能会进行维护或遇到技术问题，导致 API 暂时不可用。您可以访问交易所的状态页面或社交媒体渠道，以获取最新的 API 状态信息。