Comment sécuriser les autorisations de trading API sur la plateforme d'échange OKX ?

Création de clé API et attribution d'autorisations

1. Connectez-vous à la plateforme OKX et accédez à la section Gestion des API via le menu déroulant du compte.

2. Lancez la création d'une nouvelle clé API et attribuez un nom descriptif tel que « QuantBot-Spot-Only » pour distinguer son objectif.

3. Sélectionnez uniquement les autorisations strictement nécessaires au fonctionnement : activez Lire pour la récupération du solde et de l'historique des commandes, et Négocier uniquement si le placement automatisé des commandes est requis.

4. Laissez explicitement l'autorisation de retrait désactivée, sauf si cela est absolument mandaté par un système d'orchestration de portefeuille froid vérifié sous un contrôle isolé.

5. Confirmez la création et enregistrez immédiatement la clé API, la clé secrète et la phrase secrète générées dans un coffre-fort chiffré, et non dans des fichiers en texte brut ou des référentiels de code.

Liste blanche IP et renforcement du réseau

1. Accédez aux paramètres de restriction IP dans le même panneau de configuration API après la génération de la clé.

2. Saisissez l'adresse IPv4 ou IPv6 exacte du serveur ou de la machine locale hébergeant le script de trading (aucun caractère générique ni plage n'est autorisé).

3. En cas de déploiement sur une infrastructure cloud, récupérez l'adresse IP statique sortante à partir du tableau de bord du fournisseur et vérifiez-la par rapport aux journaux de trafic en direct avant de l'enregistrer.

4. Activez l'authentification à double facteur pour le compte OKX lui-même, garantissant que même les informations d'identification API compromises ne peuvent pas contourner les protections au niveau de la connexion.

5. Surveillez les règles de sortie du réseau pour empêcher les connexions sortantes involontaires de l'environnement hôte qui pourraient divulguer les informations d'identification via des proxys ou des agents de journalisation mal configurés.

Gestion des clés secrètes dans Codebase

1. Évitez d'intégrer des informations d'identification brutes dans les fichiers sources ; au lieu de cela, chargez-les exclusivement via des variables d'environnement initialisées en dehors de l'exécution de l'application.

2. Utilisez os.getenv('OKX_SECRET_KEY') en Python plutôt que des chaînes littérales et validez la présence au démarrage avec des messages d'erreur explicites en cas d'absence.

3. Dans les déploiements Docker de production, injectez des secrets via l'indicateur --secret ou des montages secrets externes plutôt que des ARG au moment de la construction.

4. Vérifiez tout l'historique git pour détecter toute exposition accidentelle des informations d'identification à l'aide d'outils tels que git-secrets ou des hooks de pré-validation qui recherchent des modèles hexadécimaux correspondant à la longueur de la clé secrète OKX.

5. Effectuez une rotation des clés tous les 90 jours sans exception, même pendant le déploiement actif de la stratégie, et invalidez les anciennes clés immédiatement après leur renouvellement.

Conformité à la génération de signatures

1. Construisez la chaîne de signature précisément comme méthode + chemin + horodatage + corps , où l'horodatage doit être en millisecondes depuis l'époque Unix et synchronisé dans un délai de ± 1 seconde.

2. Appliquez le hachage HMAC-SHA256 en utilisant la clé secrète comme clé et la chaîne concaténée comme message (aucun codage base64 ni ajustement de remplissage autorisé).

3. Transmettez le résumé hexadécimal résultant en tant que valeur d'en-tête OK-ACCESS-SIGN sans modification ni préfixe.

4. Incluez l'en-tête OK-ACCESS-TIMESTAMP contenant le même horodatage utilisé dans la construction de la signature, formaté sous forme de chaîne décimale.

5. Validez l'exactitude de la signature en reproduisant la même sortie par rapport aux vecteurs de test connus publiés dans la documentation officielle de l'API V5 d'OKX.

Surveillance du comportement d'exécution

1. Enregistrez toutes les requêtes API sortantes avec des informations d'identification masquées et des en-têtes de requête complets, mais n'enregistrez jamais les corps de réponse contenant des soldes ou des identifiants de commande.

2. Configurez des alertes pour les pics de fréquence de requêtes anormaux dépassant la limite de débit documentée de 20 requêtes par seconde par clé API .

3. Vérifiez les ordres exécutés par rapport aux paramètres attendus à l'aide des sommes de contrôle dérivées des charges utiles de l'ordre avant leur soumission.

4. Intégrez des explorateurs de blockchain pour vérifier de manière indépendante tout retrait initié. Même si l'autorisation de retrait reste désactivée, la surveillance sert de préparation médico-légale.

5. Conservez des pistes d'audit immuables de toutes les modifications de configuration liées à l'API, y compris les horodatages, les identités des opérateurs et les notes de justification.

Foire aux questions

Q : Puis-je réutiliser la même clé API sur plusieurs serveurs ? R : Non. Chaque instance de serveur doit avoir sa propre clé API dédiée avec une liste blanche IP configurée pour son adresse sortante spécifique.

Q : Que se passe-t-il si l'horloge de mon système dérive de plus d'une seconde ? R : La vérification de la signature échoue avec le code d'erreur 10 000 ; synchronisez l'heure à l'aide des services NTP comme pool.ntp.org et vérifiez la dérive avec le statut timedatectl.

Q : La phrase secrète est-elle sensible à la casse ? R : Oui. OKX traite la phrase secrète comme des données binaires : la casse, l'espacement et les caractères spéciaux sont conservés exactement tels qu'ils ont été saisis lors de la création de la clé API.

Q : L'activation de l'autorisation « Lecture » ​​expose-t-elle les statistiques d'utilisation des clés API ? R : Non. Les métriques d'utilisation restent visibles uniquement dans l'interface Web OKX sous Gestion des API et ne peuvent être récupérées via aucun point de terminaison public ou privé.