Tutoriel API Bybit : Comment se connecter et démarrer le trading automatisé ?

Comprendre l'authentification de l'API Bybit

1. Bybit nécessite des clés API générées à partir du tableau de bord du compte de l'utilisateur dans la section Gestion des API. Ces clés sont constituées d'une clé API et d'une clé secrète, toutes deux essentielles à la signature des demandes.

2. La clé secrète ne doit jamais être exposée dans le code côté client ou dans des référentiels publics. Il est utilisé pour générer des signatures HMAC-SHA256 pour chaque demande afin de vérifier l'identité et d'empêcher toute falsification.

3. Les utilisateurs doivent attribuer des autorisations précises lors de la création de clés, telles que l'accès « Commande », « Portefeuille » ou « Contrat », et restreindre les adresses IP s'ils fonctionnent dans des environnements de production.

4. La synchronisation de l'heure est obligatoire. Les demandes rejetées avec le code d'erreur 10004 indiquent une incompatibilité d'horodatage ; les systèmes doivent maintenir une dérive d'horloge inférieure à 30 secondes par rapport à l'heure du serveur Bybit.

5. Tous les points de terminaison nécessitent l'en-tête X-BAPI-API-KEY contenant la clé publique et l'en-tête X-BAPI-SIGN contenant la signature codée en base64 dérivée des paramètres et du secret concaténés.

Configuration de l'intégration de l'API REST

1. Les développeurs utilisent généralement Python avec la bibliothèque de requêtes pour créer des appels GET/POST authentifiés. Un exemple typique inclut la récupération du solde du portefeuille via le point de terminaison /v5/account/wallet-balance.

2. Les paramètres de requête doivent être triés par ordre alphabétique avant le hachage lors de la création de la chaîne de signature. Les valeurs occasionnelles doivent augmenter de manière monotone au fil des requêtes successives pour éviter les attaques par relecture.

3. Les limites de débit varient selon le point de terminaison : les points de terminaison publics autorisent jusqu'à 60 requêtes par minute, tandis que les points de terminaison privés sont plafonnés à 120 par minute, à moins qu'ils ne soient mis à niveau via le niveau institutionnel de Bybit.

4. La gestion des erreurs doit analyser les réponses JSON pour les codes d'état tels que 10001 (clé API invalide), 10002 (signature invalide) ou 110001 (marge insuffisante) pour déclencher une logique de secours appropriée.

5. La réutilisation des sessions améliore les performances : les connexions persistantes via le PoolManager d'urllib3 réduisent la surcharge de négociation TCP lors des soumissions de commandes à haute fréquence.

WebSocket Streaming de données en temps réel

1. Bybit prend en charge WebSocket v5 pour les données de marché en temps réel, les mises à jour d'exécution de transactions et les changements de position. Les connexions s'initient avec une seule trame d'authentification en utilisant la même clé API et la même méthode de signature que REST.

2. L'abonnement à des sujets tels que orderbook.1.BTCUSDT ou trade.BTCUSDT nécessite l'envoi d'une charge utile JSON avec op : 'subscribe' et args : ['topic.name'].

3. Les pings Heartbeat doivent être envoyés toutes les 20 secondes pour maintenir la stabilité de la connexion. L’absence de réponse dans le délai d’expiration déclenche une séquence de déconnexion et de reconnexion forcée.

4. La compression des messages est désactivée par défaut mais peut être activée via la négociation d'extension permessage-deflate lors de la négociation WebSocket pour les déploiements sensibles à la bande passante.

5. Les instantanés du carnet de commandes arrivent d’abord sous forme d’instantanés complets, suivis de mises à jour delta. Les clients doivent appliquer ces deltas correctement pour éviter la désynchronisation de l'état et les erreurs de tarification.

Créer un robot de trading automatisé de base

1. Un robot fonctionnant de manière minimale commence par l'initialisation des informations d'identification, l'établissement d'une connexion WebSocket pour le flux de prix et la configuration d'une session REST pour le passage des commandes.

2. La logique stratégique, telle que la détection des croisements de moyennes mobiles, s'exécute sur les données OHLCV au niveau des ticks reconstruites à partir des flux commerciaux WebSocket ou récupérées via REST /v5/market/kline.

3. L'exécution de la commande utilise POST /v5/order/create avec une validation stricte des champs latéraux (Achat/Vente), type de commande (Marché/Limite) et quantité. Les formats de quantité non valides renvoient l’erreur 30089.

4. Les contrôles des risques comprennent la vérification de la marge disponible avant la soumission, la vérification des limites du nombre d'ordres ouverts et l'application de la taille maximale de la position en fonction du pourcentage de capitaux propres.

5. La journalisation doit capturer les charges utiles brutes de requête/réponse, les horodatages et les mesures de latence d'exécution pour faciliter le débogage des pics de latence ou des remplissages inattendus.

Foire aux questions

Q : Puis-je utiliser la même clé API pour le testnet et le réseau principal ? R : Non. Testnet et mainnet nécessitent une génération de clé API distincte. Les clés créées sur un environnement ne fonctionnent pas sur l’autre.

Q : Que se passe-t-il si mon bot envoie des identifiants de commande en double ? R : Bybit rejette les valeurs clOrdID en double dans un délai de 24 heures avec le code d'erreur 110012, empêchant ainsi une double soumission accidentelle.

Q : Existe-t-il un moyen de récupérer l’historique des échanges datant de plus de 7 jours ? R : REST /v5/execution/list renvoie uniquement les enregistrements de la semaine dernière. Pour les archives étendues, les utilisateurs doivent activer la journalisation des échanges sur leur propre infrastructure pendant le fonctionnement en direct.

Q : Les API spot et dérivées partagent-elles le même flux d'authentification ? R : Oui. Les deux utilisent une logique de signature et une structure d'en-tête HMAC-SHA256 identiques, bien que les chemins des points de terminaison et les paramètres requis diffèrent considérablement selon les types de produits.