币安 API Key 权限配置直接影响账户安全。直接答标题:3 个核心安全原则——最小权限(只给需要的权限,绝不给提币权限除非必要)、IP 白名单(限定 API 只能从特定 IP 调用)、定期撤销(不再用的 API Key 立即撤销);正常用户用 API Key 仅做行情订阅或量化交易,几乎不需要提币权限。本文给出配置步骤。
如果你刚装好 币安官方App 且打算用 API Key 做策略交易,按下面方法配权限。来源走 币安官网 的 下载页。
API Key 权限分类
| 权限 | 说明 | 危险度 |
|---|---|---|
| Enable Reading | 读取行情、账户、订单 | 低 |
| Enable Spot & Margin Trading | 现货 + 杠杆交易 | 中 |
| Enable Futures | 合约交易 | 中 |
| Enable Withdrawals | 提币(链上转账) | 极高 |
| Permits Universal Transfer | 内部账户转账 | 中 |
A:最高风险是 Withdrawals 权限——攻击者拿到 API Key 后能直接把资产转走。
创建 API Key 的步骤
第 1 步:进入 API 管理
| 路径 | 操作 |
|---|---|
| 网页 | binance.com → 我的 → API 管理 |
| App | 我的 → API 管理 |
第 2 步:创建新 Key
| 字段 | 操作 |
|---|---|
| 标签 | 给 Key 命名(如「我的量化策略」) |
| 类型 | HMAC(默认)或 RSA(更安全) |
| 输入 2FA | 验证 |
完成后会显示:
- API Key(公开标识)
- Secret Key(密钥,只显示一次)
Secret Key 必须立即保存——关闭后看不到。
第 3 步:配置权限
按需选:
| 权限 | 是否勾选 |
|---|---|
| Enable Reading | 是(基础) |
| Enable Spot & Margin Trading | 看用途 |
| Enable Futures | 看用途 |
| Enable Withdrawals | 绝对不要勾(除非有特殊需求) |
| Permits Universal Transfer | 仅在子账户管理时需要 |
第 4 步:设置 IP 白名单
强烈推荐启用 IP 限制:
| 选项 | 推荐 |
|---|---|
| Restrict access to trusted IPs only | 启用 |
| 输入 IP 列表 | 你的服务器或家庭 IP |
填入 IP 后 API Key 只能从这些 IP 调用——即使密钥泄露,攻击者从其他 IP 也无法用。
第 5 步:保存
点保存,输入 2FA。
最小权限原则
仅看行情用户
| 用途 | 权限 |
|---|---|
| 行情订阅、看 K 线 | 仅 Reading |
A:只读 API 不能造成资产损失——最安全的配置。
量化交易用户
| 用途 | 权限 |
|---|---|
| 现货策略 | Reading + Spot Trading |
| 合约策略 | Reading + Futures |
| 套利策略 | Reading + Spot + Futures |
绝对不开启 Withdrawals——量化交易完全不需要提币权限。
资产管理(多账户调度)
| 用途 | 权限 |
|---|---|
| 子账户内部调度 | Reading + Universal Transfer |
| 充值监控 | Reading |
仍不需要 Withdrawals——内部转账不算链上提币。
IP 白名单的重要性
没有 IP 白名单的风险
API Key 一旦泄露:
| 攻击 | 后果 |
|---|---|
| 无 IP 限制 | 全球任何 IP 都能用 API Key |
| 攻击者从他的服务器调用 | 立即下单或提币 |
| 几分钟内资产损失 | 严重 |
有 IP 白名单的保护
| 攻击 | 后果 |
|---|---|
| API Key 泄露 | 攻击者拿到密钥 |
| 但只能从白名单 IP 调用 | 攻击者无法使用 |
| 资产保住 | 即使密钥泄露 |
A:IP 白名单是 API 安全的核心——必开。
API Key 的存储
API Key 和 Secret Key 必须妥善存储:
| 方式 | 安全度 |
|---|---|
| 服务器环境变量 | ★★★★ |
| 加密的配置文件 | ★★★ |
| 硬编码在代码里 | ✗ |
| GitHub 提交 | ✗(公开仓库一秒泄露) |
| 聊天工具发送 | ✗ |
GitHub 泄露案例
很多用户把含 API Key 的代码上传到 GitHub 公开仓库——几秒内被自动化工具扫到,资产被盗。
A:GitHub 公开仓库 = 全球可见——任何 API Key 上传等于公开。用 .gitignore 排除配置文件。
API Key 的定期审计
| 频率 | 操作 |
|---|---|
| 每月 | 检查 API Key 列表 |
| 每月 | 看每个 Key 的最后使用时间 |
| 不再用的 Key | 立即撤销 |
| 看陌生 Key | 立即撤销 + 改密码 + 重置 2FA |
撤销 API Key
| 步骤 | 操作 |
|---|---|
| 1 | API 管理 |
| 2 | 选要撤销的 Key |
| 3 | 删除 |
| 4 | 输入 2FA |
| 5 | 完成(立即生效) |
撤销立即生效——所有已建立的 API 连接立刻失效。
高级安全:RSA 密钥对
币安支持 RSA 类型 API Key(比 HMAC 更安全):
| 类型 | 密钥保管 |
|---|---|
| HMAC | 服务器存 Secret Key |
| RSA | 服务器存私钥,公钥给币安 |
A:RSA 类型 API Key 不传输 Secret——更难泄露。适合大额量化策略。
RSA 配置步骤
| 步骤 | 操作 |
|---|---|
| 1 | 本地生成 RSA 密钥对(OpenSSL) |
| 2 | 把公钥提供给币安 |
| 3 | 私钥保存在服务器 |
| 4 | 用私钥签名请求 |
详细配置见币安官方文档 binance.com/zh-CN/binance-api。
子账户的 API 隔离
如果用主账户 + 子账户结构:
| 账户 | API 权限 |
|---|---|
| 主账户 | 仅看行情和子账户管理 |
| 子账户 1(量化) | 现货 + 合约交易 |
| 子账户 2(被动持仓) | 仅看行情 |
主账户密钥不能用于交易——子账户密钥分散风险。
常见错误
错误 1:开 Withdrawals 权限
最常见的安全错误。99% 用户不需要 Withdrawals 权限——开了等于把资产钥匙交给 API。
错误 2:不设 IP 白名单
IP 白名单是必备——没设的 API Key 一旦泄露立即被滥用。
错误 3:把 API Key 传到聊天工具
任何聊天工具发送 API Key 都不安全——记录可能被截图、转发、泄露。
错误 4:用同一 API Key 给多个用途
每个用途单独 Key——一个泄露只影响一个用途,不会全盘崩。
已泄露的处理
如果发现 API Key 泄露:
| 步骤 | 操作 |
|---|---|
| 1 | 立即撤销该 API Key |
| 2 | 检查最近 7 天的 API 调用记录 |
| 3 | 看是否有异常下单或提币 |
| 4 | 改账户密码 |
| 5 | 重置 2FA |
| 6 | 启用白名单提币 |
| 7 | 创建新 API Key 用 IP 白名单 |
详细应急流程见 安全防护 分类。
常见误区
误区 1:以为 API Key 不重要
错。API Key 等于账户控制权——保护级别等同密码。
误区 2:以为 API Key 不会泄露
不绝对。GitHub、日志、缓存、聊天都可能泄露。假设它会泄露 → 提前限制权限。
误区 3:以为撤销老 Key 会影响策略
短期会。重新创建 Key 即可继续运行——但避免长期用同一 Key。
下一步建议
| 行动 | 说明 |
|---|---|
| 验证信息来源 | 在 币安官网 核对最新规则与公告 |
| App 实操 | 用 币安官方App 跟着步骤走一遍 |
理论看再多不如实操一遍——按本文步骤在官网或 App 里跟着做,遇到不一致再回头核对。
FAQ
Q:API Key 有效期多久? A:默认无限期。但90 天不使用会自动禁用——避免遗忘的 Key 残留。
Q:能不能限制 API 每分钟下单数量? A:币安自身有 API 限速机制。用户层面可以设单笔最大金额——交易限额。
Q:API Key 被自己人误删怎么办? A:撤销了就撤销了,重新创建一个。Secret Key 不能恢复——重建意味着策略代码要更新。
Q:能把 API Key 给量化平台(如某交易机器人)吗? A:可以但必须用最小权限 + IP 白名单。绝不给 Withdrawals 权限。
Q:API 频率限制是多少? A:取决于权重。通常每分钟 1200 个请求。详见 binance.com/zh-CN/binance-api 文档。
Q:API Key 本身能不能加 2FA? A:API 本身不需要 2FA(每次调用都签名验证)。但创建/撤销 API Key 需要账户 2FA。
Q:本站对 API Key 安全的核心建议? A:本站建议最小权限 + IP 白名单 + 月度审计——三层组合让 API 风险最低。