Comment corriger une erreur de signature API invalide sur l'API de trading Kraken ?

Comprendre les exigences de signature de l'API Kraken

1. Kraken applique une validation stricte des signatures pour chaque demande authentifiée adressée à ses points de terminaison de trading.

2. La signature doit être calculée à l'aide de HMAC-SHA512 sur une concaténation spécifique d'éléments de données.

3. Chaque requête nécessite un horodatage unique en millisecondes et le serveur rejette les requêtes datant de plus de 60 secondes.

4. Le corps du POST doit être codé sous forme de chaîne codée en URL avant d'être inclus dans la base de signature.

5. La clé API utilisée dans l'en-tête de la requête doit correspondre à celle associée au secret utilisé pour la signature.

Séquence de construction de signature correcte

1. Rassemblez tous les paramètres de la requête dans un dictionnaire, à l'exclusion du champ de signe lui-même.

2. Triez les clés de paramètres par ordre alphabétique et concaténez-les en une seule chaîne au format key1=value1&key2=value2 .

3. Ajoutez le chemin du point de terminaison de l'API (par exemple, /0/private/AddOrder ) à la chaîne de paramètres triée.

4. Encodez la chaîne résultante en UTF-8 et calculez HMAC-SHA512 en utilisant le secret API Base64 décodé comme clé.

5. Convertissez le résumé obtenu en Base64 et incluez-le comme paramètre de signe dans la charge utile de la demande.

Pièges d'encodage courants dans les implémentations Python

1. L'incapacité de décoder le secret API codé en Base64 avant de le transmettre à hmac.new() entraîne une sortie non valide.

2. L'utilisation de JSON brut au lieu de données de formulaire codées en URL lors de la construction du corps POST entraîne une entrée de signature incompatible.

3. Passer des horodatages sous forme d'entiers sans les convertir en chaînes avant la concaténation introduit des erreurs de type silencieuses.

4. Le double codage accidentel des valeurs des paramètres (une fois pendant le codage de l'URL et une autre fois pendant la sérialisation JSON) rompt l'alignement de la signature.

5. Ignorer la normalisation des espaces dans les charges utiles JSON : Kraken s'attend à un JSON compact sans espaces, donc separators=(',', ':') doivent être appliqués.

Éléments essentiels de la configuration de l'en-tête

1. L'en-tête API-Key doit contenir la chaîne de clé API exacte enregistrée sur le tableau de bord du compte Kraken.

2. L'en-tête API-Sign doit contenir le résultat HMAC-SHA512 codé en Base64, et non le résumé hexadécimal ou les octets bruts.

3. L'en-tête Content-Type doit être défini sur application/x-www-form-urlencoded pour tous les points de terminaison privés.

4. Les horodatages transmis dans les en-têtes doivent s'aligner précisément sur ceux utilisés dans le calcul de la signature : aucun arrondi ni troncature n'est autorisé.

5. Tous les en-têtes sont sensibles à la casse ; api-key ou Api-Sign échouera instantanément à l'authentification.

Dépannage des réponses de signature invalides

1. Capturez les corps bruts complets des requêtes et des réponses à l'aide d'outils tels que mitmproxy ou Wireshark pour comparer les entrées de signature attendues et réelles.

2. Reconstruisez manuellement la chaîne de signature dans un REPL Python et vérifiez que la représentation en octets de chaque composant correspond aux attentes de Kraken.

3. Validez le décodage Base64 du secret en imprimant sa longueur en octets : les secrets Kraken sont décodés sur exactement 64 octets pour la compatibilité SHA512.

4. Vérifiez qu'aucun caractère masqué (par exemple, nomenclature, espaces de largeur nulle) n'existe dans les valeurs des paramètres avant le codage.

5. Testez d'abord le point de terminaison /0/public/Time de Kraken pour valider la synchronisation de l'horodatage avant de tenter des appels privés.

Foire aux questions

Q : Kraken exige-t-il que la phrase secrète soit signée séparément, comme KuCoin ? Non. Kraken n'utilise pas de phrase secrète dans son système de signature. Seuls la clé API et le secret interviennent dans le calcul HMAC.

Q : Puis-je réutiliser la même signature sur plusieurs demandes ? Non. Chaque signature est liée à un horodatage et à un ensemble de paramètres uniques. La réutilisation des signatures déclenche un rejet immédiat.

Q : Pourquoi ma signature fonctionne-t-elle dans Postman mais échoue-t-elle dans Python ? Cela provient généralement d'un comportement d'encodage d'URL incohérent : Postman encode automatiquement les valeurs tandis que urllib.parse.urlencode() de Python peut omettre l'encodage de certains caractères à moins d'être explicitement configuré.

Q : Existe-t-il une longueur maximale pour les valeurs des paramètres de l'API Kraken ? Kraken n'impose aucune limite stricte documentée, mais des valeurs trop longues peuvent entraîner un désalignement de la signature en raison d'une troncature silencieuse lors du transport HTTP ou de l'analyse interne.