Comment gérer le cycle de vie des jetons API sur la plateforme Bybit ?

Génération de jetons et attribution d'autorisations

1. Bybit nécessite la création d'une clé API via son tableau de bord officiel dans la section « Gestion des API », où les utilisateurs doivent explicitement activer des autorisations spécifiques par clé.

2. Chaque jeton doit se voir attribuer des étendues granulaires, telles que account.read , Asset.transfer ou order.write , pour appliquer le moindre privilège.

3. Les jetons générés sans liste blanche IP sont automatiquement limités aux opérations en lecture seule, sauf si explicitement activés lors de la création.

4. La plateforme impose une authentification obligatoire à deux facteurs (2FA) pour toute clé API disposant d'autorisations de retrait ou de transfert de fonds.

5. Les clés créées via les points de terminaison de l'API V5 de Bybit doivent inclure un paramètre de type spécifiant si le jeton est destiné aux comptes au comptant, aux produits dérivés ou aux comptes de trading unifiés.

Stockage sécurisé et isolation de l'environnement

1. Bybit recommande de stocker les clés API en dehors du code source de l'application à l'aide de variables d'environnement ou de mécanismes d'injection de secrets sauvegardés dans un coffre-fort.

2. Les développeurs intégrant le SDK Python de Bybit doivent éviter de coder en dur les informations d'identification dans les blocs d'initialisation pybit.unified_trading.HTTP .

3. Les déploiements de production doivent utiliser des comptes de service dédiés avec des politiques de réseau isolées plutôt que des clés API personnelles.

4. Les applications Dockerisées doivent monter les secrets via des montages de volume ou des secrets Kubernetes au lieu de les transmettre comme arguments de construction.

5. Les environnements de développement locaux nécessitent des règles .gitignore strictes pour empêcher les validations accidentelles de fichiers .env contenant BYBIT_API_KEY et BYBIT_API_SECRET.

Surveillance de l'utilisation et détection des anomalies

1. Bybit fournit des journaux d'appels API en temps réel accessibles uniquement via des sessions de tableau de bord authentifiées, affichant l'horodatage, le point de terminaison, le code d'état et la taille de la demande.

2. Les limites de débit sont appliquées par clé API (et non par utilisateur) et les violations déclenchent des réponses 429 immédiates sans délai de grâce.

3. Des pics d'origine géographique inhabituels, tels que des demandes soudaines provenant de plages ASN à haut risque, déclenchent une suspension automatisée des clés dans les 90 secondes.

4. La plateforme signale les échecs répétés des tentatives de validation de signature comme des événements potentiels de fuite d'informations d'identification.

5. Les utilisateurs reçoivent des alertes par e-mail lorsque les clés API dépassent 75 % de leur seuil de quota quotidien, ce qui les incite à un examen manuel avant que la limitation ne se produise.

Procédures clés de rotation et de déclassement

1. Bybit n'expire pas automatiquement les clés API, ce qui fait de la rotation planifiée une responsabilité du développeur appliquée via les pipelines CI/CD.

2. Chaque cycle de rotation doit impliquer la génération d'une nouvelle paire de clés, la mise à jour de tous les services dépendants et la vérification de la fonctionnalité avant de supprimer l'ancienne clé.

3. Le point de terminaison DELETE /api/auth/token nécessite l'ID de clé exact renvoyé lors de la création initiale, et non la chaîne de clé elle-même.

4. Les clés révoquées restent visibles dans les journaux d'audit pendant 90 jours mais ne peuvent en aucun cas être réactivées ou réutilisées.

5. Les scripts automatisés effectuant la rotation des clés doivent valider les codes de réponse du point de terminaison /api/auth/tokens de Bybit avant de procéder à la suppression.

Foire aux questions

Q : Puis-je réutiliser une clé API après la suppression ? Non. Une fois supprimée via DELETE /api/auth/token , la clé est définitivement invalidée et ne peut pas être récupérée ou régénérée avec des paramètres identiques.

Q : Bybit prend-il en charge OAuth 2.0 pour les intégrations tierces ? Non. Bybit utilise exclusivement des requêtes signées HMAC-SHA256 avec des paires clé-secrète API. OAuth 2.0 n'est implémenté sur aucune surface d'API publique.

Q : Que se passe-t-il si ma clé API dépasse les limites de débit sur plusieurs points de terminaison simultanément ? Chaque point de terminaison fonctionne selon une limitation de débit indépendante. Le dépassement des limites de passation d'ordres n'affecte pas les requêtes de solde d'actifs, mais la détection globale des abus peut suspendre l'intégralité de la clé.

Q : Les clés API testnet sont-elles soumises aux mêmes politiques de sécurité que les clés du réseau principal ? Oui. Les clés Testnet nécessitent une portée d’autorisation identique, une liste blanche IP et une application 2FA. Elles apparaissent également dans la même interface de journal d'audit que les clés de production.