Bybit 플랫폼에서 API 토큰 수명주기를 어떻게 관리하나요?

토큰 생성 및 권한 할당

1. Bybit에서는 공식 대시보드의 "API 관리" 섹션을 통해 API 키를 생성해야 하며, 여기서 사용자는 키별로 특정 권한을 명시적으로 활성화해야 합니다.

2. 최소 권한 액세스를 적용하려면 각 토큰에 account.read , Asset.transfer 또는 order.write 와 같은 세분화된 범위를 할당해야 합니다.

3. IP 화이트리스트 없이 생성된 토큰은 생성 중에 명시적으로 활성화하지 않는 한 자동으로 읽기 전용 작업으로 제한됩니다.

4. 플랫폼은 출금 또는 자금 이체 권한이 있는 모든 API 키에 대해 필수 이중 인증(2FA)을 시행합니다.

5. Bybit의 V5 API 엔드포인트를 통해 생성된 키에는 토큰이 현물, 파생상품 또는 통합 거래 계좌용인지 지정하는 유형 매개변수가 포함되어야 합니다.

안전한 스토리지 및 환경 격리

1. Bybit에서는 환경 변수 또는 볼트 지원 비밀 주입 메커니즘을 사용하여 애플리케이션 소스 코드 외부에 API 키를 저장할 것을 권장합니다.

2. Bybit Python SDK를 통합하는 개발자는 pybit.unified_trading.HTTP 초기화 블록에서 자격 증명을 하드코딩하는 것을 피해야 합니다.

3. 프로덕션 배포에서는 개인 API 키 대신 격리된 네트워크 정책이 있는 전용 서비스 계정을 사용해야 합니다.

4. Docker화된 애플리케이션은 비밀을 빌드 인수로 전달하는 대신 볼륨 마운트 또는 Kubernetes 비밀을 통해 마운트해야 합니다.

5. 로컬 개발 환경에서는 BYBIT_API_KEY 및 BYBIT_API_SECRET이 포함된 .env 파일의 실수로 커밋되는 것을 방지하기 위해 엄격한 .gitignore 규칙이 필요합니다.

사용량 모니터링 및 이상 탐지

1. Bybit는 인증된 대시보드 세션을 통해서만 액세스할 수 있는 실시간 API 호출 로그를 제공하며 타임스탬프, 엔드포인트, 상태 코드 및 요청 크기를 보여줍니다.

2. 속도 제한은 사용자가 아닌 API 키별로 적용되며 위반 시 유예 기간 없이 즉시 429 응답이 트리거됩니다.

3. 고위험 ASN 범위의 갑작스러운 요청과 같은 비정상적인 지리적 출처 급증은 90초 이내에 자동 키 일시 중지를 트리거합니다.

4. 플랫폼은 반복적으로 실패한 서명 검증 시도를 잠재적 자격 증명 유출 이벤트로 표시합니다.

5. API 키가 일일 할당량 임계값의 75%를 초과하면 사용자는 이메일 알림을 받으며 제한이 발생하기 전에 수동 검토를 요청합니다.

주요 순환 및 폐기 절차

1. Bybit는 API 키를 자동 만료하지 않으므로 CI/CD 파이프라인을 통해 개발자의 책임을 예약 순환으로 적용합니다.

2. 모든 순환 주기에는 새 키 쌍 생성, 모든 종속 서비스 업데이트, 이전 키 삭제 전 기능 확인이 포함되어야 합니다.

3. DELETE /api/auth/token 엔드포인트에는 키 문자열 자체가 아닌 초기 생성 중에 반환된 정확한 키 ID가 필요합니다.

4. 해지된 키는 90일 동안 감사 로그에 표시되지만 어떤 상황에서도 다시 활성화하거나 재사용할 수 없습니다.

5. 키 교체를 수행하는 자동화된 스크립트는 삭제를 진행하기 전에 Bybit의 /api/auth/tokens 엔드포인트에서 응답 코드를 검증해야 합니다.

자주 묻는 질문

Q: API 키를 삭제한 후 재사용할 수 있나요? 아니요. DELETE /api/auth/token 을 통해 삭제되면 키는 영구적으로 무효화되며 동일한 매개변수를 사용하여 복구하거나 재생성할 수 없습니다.

Q: Bybit는 타사 통합을 위해 OAuth 2.0을 지원합니까? 아니요. Bybit는 API 키-비밀 쌍이 포함된 HMAC-SHA256 서명 요청을 독점적으로 사용합니다. OAuth 2.0은 공개 API 표면에서 구현되지 않습니다.

Q: 내 API 키가 여러 엔드포인트에서 동시에 속도 제한을 초과하면 어떻게 됩니까? 각 엔드포인트는 독립적인 속도 제한에 따라 작동합니다. 주문 한도를 초과해도 자산 잔고 쿼리에는 영향을 미치지 않지만 전역 남용 감지로 인해 전체 키가 일시 중지될 수 있습니다.

Q: 테스트넷 API 키에는 메인넷 키와 동일한 보안 정책이 적용됩니까? 예. 테스트넷 키에는 동일한 권한 범위 지정, IP 화이트리스트 및 2FA 시행이 필요합니다. 또한 프로덕션 키와 동일한 감사 로그 인터페이스에도 나타납니다.