Kraken APIで認証する方法

KrakenのプライベートAPIエンドポイントに安全にアクセスし、制限された権限とIPホワイトリストを備えたAPIキーを生成し、秘密の鍵、一意のNonCE、および同期されたタイムスタンプから派生したHMAC-Sha512の署名を使用してリクエストを認証します。

2025/08/02 13:49

Kraken API認証要件の理解

Kraken APIと安全に対話するには、アカウントの残高の取得、取引の配置、注文ステータスのチェックなどのプライベートエンドポイントに認証が必要です。市場データやティッカー情報などのパブリックエンドポイントは、認証を必要としません。ただし、プライベートエンドポイントの場合、KrakenはAPIキーおよびシークレットベースのHMAC-SHA512署名スキームを使用してリクエストを認証します。この方法により、認定されたユーザーのみが機密データにアクセスしたり、取引操作を実行できるようになります。このプロセスには、シークレットキー、要求パス、ポストデータ、および動的なNonCE値を使用して、各要求の署名を生成することが含まれます。

APIキーはパブリック識別子として機能し、シークレットキーは暗号化された署名を生成するために使用されます。シークレットキーを安全に保存することが重要であり、クライアント側のコードやパブリックリポジトリに決して公開しないことが重要です。 Krakenは、アカウントアクセスのために2要素認証（2FA）をサポートしており、API資格情報を保護できるようにすることを強くお勧めします。

Kraken APIキーを生成します

認証されたリクエストを作成する前に、KrakenアカウントダッシュボードからAPIキーを生成する必要があります。 Krakenアカウントにログインし、 [セキュリティ]タブに移動します。 APIセクションの下で、 [新しいAPIキーの追加]をクリックします。キーの権限を設定するように求められます。取引業務の場合は、必要に応じて「クエリファンド」、「取引」、「資金の引き出し」を選択します。リスクを減らすために不必要な権限を付与しないでください。

キー作成中、 IPアドレス制限を設定して、特定のIPアドレスへのAPIアクセスを制限できます。これにより、リクエストが信頼できる場所からのみ発生するようにすることにより、セキュリティの層が追加されます。アクセス許可とIPフィルターを構成したら、 [キーの生成]をクリックします。 Krakenは、 APIキーとシークレットキーを表示します。セキュリティ上の理由で再び表示されないため、秘密の鍵をすぐにコピーして保存します。

認証されたKraken APIリクエストの構造

認証されたKraken API要求には、特定のヘッダーと適切に構築されたペイロードを含める必要があります。プライベートリクエストのエンドポイントはhttps://api.kraken.com/0/private/EndpointNameです。リクエストは郵送で送信し、3つの重要なヘッダーを含める必要があります。

• Api-Key ：生成されたパブリックAPIキー。
• API-Sign ：リクエストのHMAC-SHA512署名。
• コンテンツタイプ： application/x-www-form-urlencodedに設定する必要があります。

ポスト本体には、 NONCEパラメーターが含まれている必要があります。非CEは、リプレイ攻撃を防ぐために使用される単調に増加する整数です。後続の各要求は、以前の要求よりも高いNonCE値を持っている必要があります。 nonce=1678880099123456など、マイクロ秒の精度でタイムスタンプを使用してNonCEを生成できます。

HMAC-SHA512を使用してAPI-SIGNヘッダーを作成します

API-Signヘッダーは、認証の最も複雑な部分です。これは、URIパス、エンコードされた投稿データ、メッセージ認証コード（MAC）を含むメッセージをハッシュすることによって生成されます。これらの手順に従って、署名を計算します。

• Urlencodeを使用してPOSTデータ（NONCEを含む）をエンコードし、すべての文字が適切に逃げられるようにします。
• 6桁のUNIX時間（エポックから数秒）とURIパスとエンコードされたPOSTデータを組み合わせることにより、メッセージを連結します。
• secretキーをBase64形式からデコードします。
• デコードされた秘密をキーとして使用して、連結メッセージのHMAC-SHA512ハッシュを計算します。
• base64を使用して結果のハッシュをエンコードして、最終的なAPI-SIGN値を生成します。

たとえば、Pythonでは、 hmac 、 hashlib 、およびbase64ライブラリを使用して実装できます。メッセージで使用される時間がKrakenのサーバー時間と同期しているTimeを確認してください。

例：APIを介してアカウントの残高を取得します

アカウントの残高を取得するには、 Balanceエンドポイントを呼び出す必要があります。リクエストを作成するための段階的なガイドを次に示します。

• エンドポイントURLをhttps://api.kraken.com/0/private/Balanceに設定します。
• int(time.time() * 1000000)などの一意のNonCe値を生成します。
• Post Payloadをnonce=1678880099123456として準備します。
• 連結してメッセージを作成します。
  • 6桁のUNIXタイムスタンプ（例： 1678880099 ）
  • URIパス/0/private/Balance
  • URLエンコードされた投稿データ
• デコードされたシークレットキーを使用して、このメッセージのHMAC-SHA512ハッシュを計算します。
• Base64でハッシュをエンコードして、 API-Signヘッダーを形成します。
• ヘッダーでPOSTリクエストを送信します。
  • API-Key: YOUR_API_KEY
  • API-Sign: GENERATED_SIGNATURE
  • Content-Type: application/x-www-form-urlencoded

成功した場合、Krakenは資産残高を含むJSON応答を返します。一般的なエラーには、認証プロセスの問題を示す、無効な署名、 Nonce Too Small 、または無効なAPIキーが含まれます。

一般的なエラーとトラブルシューティングのヒント

Kraken API認証中にいくつかの問題が発生する可能性があります。頻繁な問題の1つは、 「EAPI：無効なキー」です。これは、提供されるAPIキーが間違っているか無効であることを意味します。正しいキーを使用していること、そしてそれが取り消されていないことを再確認してください。

別の一般的なエラーは「EAPI：無効な署名」です。これは通常、誤ったメッセージの構築、時間のドリフト、または不適切なエンコードに起因します。 NTPを使用してシステムクロックが同期されていることを確認してください。小さな時間差でさえ、署名を無効にする可能性があります。

「general：novalid nonce」を受け取った場合、NonCe値が前のものよりも大きくないことを示します。常に非CEを増やし、値の再利用を避けてください。マイクロ秒前のタイムスタンプを使用すると、これを防ぐのに役立ちます。

ファイアウォールまたはIPの制限は、現在のIPがホワイトリストに登録されていない場合、リクエストをブロックする場合があります。 Kraken API構成パネルでIP設定を確認します。

よくある質問

複数のアプリケーションで同じAPIキーを使用できますか？

はい、さまざまなアプリケーションで同じAPIキーを使用できますが、アプリケーションごとに専用キーを作成する方が安全です。これにより、キーが侵害された場合、より良いアクセス制御と容易な取り消しが可能になります。

秘密の鍵を失ったらどうすればよいですか？

秘密の鍵を失った場合、回復することはできません。 Krakenアカウントから新しいAPIキーを生成する必要があります。新しいキーを作成した後、すべてのアプリケーションを新しい資格情報で更新し、古いキーを無効にしてセキュリティを維持します。

共有サーバーでKraken APIを使用しても安全ですか？

適切な予防措置が取られない場合、共有サーバーでKraken APIを使用するとリスクがあります。シークレットキーが、環境変数または暗号化された構成ファイルに保存されていることを確認してください。 API許可を制限し、IPホワイトリストを使用して露出を最小限に抑えます。

どのくらいの頻度でAPIキーを回転させる必要がありますか？

固定規則はありませんが、 90日ごとにAPIキーを回転させるか、セキュリティ違反が疑われる直後に回転することをお勧めします。定期的な回転は、長期的な不正アクセスのリスクを減らします。