Wie verwalte ich den API-Token-Lebenszyklus auf der Bybit-Plattform?

Token-Generierung und Berechtigungszuweisung

1. Bybit verlangt die Erstellung von API-Schlüsseln über sein offizielles Dashboard im Abschnitt „API-Verwaltung“, wo Benutzer bestimmte Berechtigungen pro Schlüssel explizit aktivieren müssen.

2. Jedem Token müssen granulare Bereiche zugewiesen werden – etwa „account.read“ , „asset.transfer“ oder „order.write“ , um den Zugriff mit den geringsten Rechten zu erzwingen.

3. Token, die ohne IP-Whitelisting generiert werden, sind automatisch auf schreibgeschützte Vorgänge beschränkt, es sei denn, sie werden während der Erstellung explizit aktiviert.

4. Die Plattform erzwingt die obligatorische Zwei-Faktor-Authentifizierung (2FA) für jeden API-Schlüssel mit Auszahlungs- oder Geldtransferberechtigungen.

5. Schlüssel, die über die V5-API-Endpunkte von Bybit erstellt werden, müssen einen Typparameter enthalten, der angibt, ob der Token für Spot-, Derivate- oder einheitliche Handelskonten bestimmt ist.

Sichere Speicherung und Umgebungsisolierung

1. Bybit empfiehlt, API-Schlüssel außerhalb des Anwendungsquellcodes mithilfe von Umgebungsvariablen oder Tresor-gestützten Secret-Injection-Mechanismen zu speichern.

2. Entwickler, die das Python SDK von Bybit integrieren, müssen die Hardcodierung von Anmeldeinformationen in pybit.unified_trading.HTTP -Initialisierungsblöcken vermeiden.

3. Produktionsbereitstellungen sollten dedizierte Dienstkonten mit isolierten Netzwerkrichtlinien anstelle persönlicher API-Schlüssel verwenden.

4. Dockerisierte Anwendungen müssen Geheimnisse über Volume-Mounts oder Kubernetes-Geheimnisse bereitstellen, anstatt sie als Build-Argumente zu übergeben.

5. Lokale Entwicklungsumgebungen erfordern strenge .gitignore-Regeln, um versehentliche Festschreibungen von .env- Dateien mit BYBIT_API_KEY und BYBIT_API_SECRET zu verhindern.

Nutzungsüberwachung und Anomalieerkennung

1. Bybit stellt Echtzeit-API-Aufrufprotokolle bereit, die nur über authentifizierte Dashboard-Sitzungen zugänglich sind und Zeitstempel, Endpunkt, Statuscode und Anfragegröße anzeigen.

2. Ratenbeschränkungen werden pro API-Schlüssel durchgesetzt – nicht pro Benutzer – und Verstöße lösen sofortige 429-Antworten ohne Kulanzfristen aus.

3. Ungewöhnliche geografische Ursprungsspitzen, wie etwa plötzliche Anfragen aus ASN-Bereichen mit hohem Risiko, lösen innerhalb von 90 Sekunden eine automatische Schlüsselsperre aus.

4. Die Plattform kennzeichnet wiederholte fehlgeschlagene Signaturvalidierungsversuche als potenzielle Anmeldeinformationslecks.

5. Benutzer erhalten E-Mail-Benachrichtigungen, wenn API-Schlüssel 75 % ihres täglichen Kontingentschwellenwerts überschreiten, was zu einer manuellen Überprüfung führt, bevor eine Drosselung erfolgt.

Wichtige Rotations- und Stilllegungsverfahren

1. Bybit lässt API-Schlüssel nicht automatisch ablaufen, wodurch die geplante Rotation zu einer Entwicklerverantwortung wird, die über CI/CD-Pipelines durchgesetzt wird.

2. Jeder Rotationszyklus muss die Generierung eines neuen Schlüsselpaars, die Aktualisierung aller abhängigen Dienste und die Überprüfung der Funktionalität umfassen, bevor der alte Schlüssel gelöscht wird.

3. Der DELETE /api/auth/token -Endpunkt erfordert die genaue Schlüssel-ID, die bei der ersten Erstellung zurückgegeben wurde – nicht die Schlüsselzeichenfolge selbst.

4. Widerrufene Schlüssel bleiben 90 Tage lang in den Prüfprotokollen sichtbar, können jedoch unter keinen Umständen reaktiviert oder wiederverwendet werden.

5. Automatisierte Skripte, die eine Schlüsselrotation durchführen, müssen Antwortcodes vom Endpunkt /api/auth/tokens von Bybit validieren, bevor sie mit dem Löschen fortfahren.

Häufig gestellte Fragen

F: Kann ich einen API-Schlüssel nach dem Löschen wiederverwenden? Nein. Sobald der Schlüssel über DELETE /api/auth/token gelöscht wurde, ist er dauerhaft ungültig und kann nicht mit identischen Parametern wiederhergestellt oder neu generiert werden.

F: Unterstützt Bybit OAuth 2.0 für Integrationen von Drittanbietern? Nein. Bybit verwendet ausschließlich HMAC-SHA256-signierte Anfragen mit API-Schlüssel-Geheimnis-Paaren. OAuth 2.0 ist auf keiner öffentlichen API-Oberfläche implementiert.

F: Was passiert, wenn mein API-Schlüssel die Ratenlimits auf mehreren Endpunkten gleichzeitig überschreitet? Jeder Endpunkt arbeitet mit einer unabhängigen Ratenbegrenzung. Das Überschreiten der Limits bei der Auftragserteilung wirkt sich nicht auf Abfragen des Vermögensbestands aus, die globale Missbrauchserkennung kann jedoch zur Sperrung des gesamten Schlüssels führen.

F: Unterliegen Testnet-API-Schlüssel denselben Sicherheitsrichtlinien wie Mainnet-Schlüssel? Ja. Testnet-Schlüssel erfordern identische Berechtigungsbereiche, IP-Whitelisting und 2FA-Durchsetzung. Sie erscheinen auch in derselben Audit-Log-Schnittstelle wie Produktionsschlüssel.