Wie generiert man Bitfinex-API-Schlüssel? (Einrichtung des Trading-Bots)

Kontoverifizierung und Zugriffsanforderungen

1. Benutzer müssen eine vollständige Know Your Customer (KYC)-Überprüfung durchführen, bevor sie auf die Funktionalität zur API-Schlüsselgenerierung zugreifen können.

2. Bitfinex beschränkt die API-Erstellung auf Konten mit Zwei-Faktor-Authentifizierung (2FA), die über eine Authentifizierungs-App oder einen Hardware-Token aktiviert ist.

3. Konten, die wegen verdächtiger Aktivitäten gekennzeichnet sind oder einer behördlichen Prüfung unterliegen, wird die Ausgabe von API-Schlüsseln bis zur Lösung verweigert.

4. Firmenkonten erfordern zusätzliche Unterlagen, einschließlich Gründungsurkunden und Listen autorisierter Zeichnungsberechtigter.

5. Die Geolokalisierung der IP-Adresse muss mit der Gerichtsbarkeit des registrierten Kontos übereinstimmen. Nicht übereinstimmende Standorte lösen eine manuelle Überprüfung aus.

Schritt-für-Schritt-Prozess zur Schlüsselgenerierung

1. Melden Sie sich mit verifizierten Anmeldeinformationen und einer aktiven 2FA-Sitzung bei der Bitfinex-Weboberfläche an.

2. Navigieren Sie zu Konto → API → Neuen Schlüssel erstellen, um auf das Schlüsselkonfigurationsfenster zuzugreifen.

3. Wählen Sie Berechtigungsbereiche aus: schreibgeschützt, Handelsausführung, Wallet-Verwaltung oder Margin-Lending – jeweils erfordert eine ausdrückliche Bestätigung.

4. Definieren Sie IP-Whitelisting-Regeln. Schlüssel ohne mindestens eine genehmigte IPv4- oder IPv6-Adresse werden automatisch abgelehnt.

5. Bestätigen Sie die Erstellung mit einem zeitbasierten Einmalpasswort (TOTP), das vom verknüpften Authentifizierungsgerät generiert wird.

Sicherheitskonfigurationsprotokolle

1. Alle neu generierten Schlüssel erben Standardratenlimits: 15 Anfragen pro Sekunde für öffentliche Endpunkte, 5 pro Sekunde für private Endpunkte.

2. Auszahlungsberechtigungen erfordern eine separate E-Mail-Bestätigung, die an die verifizierte Kontoadresse gesendet wird.

3. Schlüssel, denen Handelsprivilegien zugewiesen wurden, müssen vor der Ausführung der ersten Bestellung eine obligatorische 72-stündige Bedenkzeit durchlaufen.

4. Das Sitzungs-Timeout wird nach 90 Tagen Inaktivität erzwungen. Abgelaufene Schlüssel können nicht reaktiviert werden und müssen neu generiert werden.

5. Bitfinex erzwingt ausschließlich die TLS 1.3-Verschlüsselung; Versuche, Schlüssel über ungesicherte Verbindungen zu verwenden, führen zum sofortigen Widerruf.

Integrationstests und -validierung

1. Entwickler müssen wichtige Funktionen mithilfe des Endpunkts /v2/auth/r/wallets validieren, bevor sie Live-Handelsvorgänge starten.

2. Über die API aufgegebene Testaufträge müssen zunächst die Sandbox-Umgebung nutzen; Produktionsschlüssel sind für die Sandbox-Nutzung gesperrt.

3. Signaturvalidierungsfehler geben HTTP 401-Antworten mit kryptografisch signierten Fehlernutzdaten zurück, die Zeitstempel- und Nonce-Werte enthalten.

4. Für Abfragen der Orderbuchtiefe sind separate Schlüsselberechtigungen erforderlich, die sich vom Zugriff auf die Ticker- oder Handelshistorie unterscheiden.

5. Margin-Positionssynchronisierungsendpunkte erfordern erhöhte Berechtigungen, die nicht standardmäßig gewährt werden, selbst für Vollzugriffsschlüssel.

Häufig gestellte Fragen

F: Kann ich mehrere API-Schlüssel mit identischen Berechtigungssätzen generieren? Ja, Bitfinex erlaubt eine unbegrenzte Schlüsselgenerierung pro Konto, solange jeder Schlüssel über eindeutige IP-Whitelisting-Regeln und beschreibende Bezeichnungen verfügt.

F: Was passiert, wenn mein API-Schlüssel im clientseitigen JavaScript-Code offengelegt wird? Bitfinex macht jeden Schlüssel, der im öffentlich zugänglichen Frontend-Code erkannt wird, durch automatisierte Scansysteme, die in GitHub-, npm- und CDN-Archiven eingesetzt werden, sofort ungültig.

F: Laufen API-Schlüssel nach größeren Plattformaktualisierungen automatisch ab? Nein, Schlüssel bleiben gültig, sofern sie nicht ausdrücklich widerrufen oder kompromittiert werden. Allerdings können veraltete Endpunkte bei Infrastruktur-Upgrades ohne Warnung HTTP-410-Fehler zurückgeben.

F: Gibt es eine Möglichkeit zu prüfen, auf welche Endpunkte ein bestimmter API-Schlüssel zugegriffen hat? Ja, im Abschnitt „Audit-Protokolle“ unter API Management werden zeitgestempelte Datensätze jeder authentifizierten Anfrage angezeigt, einschließlich Pfad, Methode, Antwortstatus und Verarbeitungslatenz.