OKX 교환 플랫폼에서 API 거래 권한을 보호하는 방법은 무엇입니까?

API Key 생성 및 권한 할당

1. OKX 플랫폼에 로그인하고 계정 드롭다운 메뉴를 통해 API 관리 섹션으로 이동합니다.

2. 새로운 API 키 생성을 시작하고 "QuantBot-Spot-Only"와 같은 설명적인 이름을 할당하여 목적을 구별합니다.

3. 운영에 꼭 필요한 권한만 선택하세요. 잔액 및 주문 내역 검색을 위해 읽기를 활성화하고 자동 주문이 필요한 경우에만 거래를 활성화하세요.

4. 에어 갭 제어 하에 검증된 콜드 지갑 오케스트레이션 시스템에서 절대적으로 요구하지 않는 한 출금 권한을 명시적으로 비활성화된 상태로 둡니다.

5. 생성을 확인하고 생성된 API 키, 비밀 키 및 암호를 일반 텍스트 파일이나 코드 저장소가 아닌 암호화된 저장소에 즉시 기록합니다.

IP 화이트리스트 및 네트워크 강화

1. 키 생성 후 동일한 API 구성 패널 내에서 IP 제한 설정에 액세스합니다.

2. 거래 스크립트를 호스팅하는 서버 또는 로컬 시스템의 정확한 IPv4 또는 IPv6 주소를 입력합니다. 와일드카드나 범위는 허용되지 않습니다.

3. 클라우드 인프라에 배포하는 경우 공급자 대시보드에서 아웃바운드 고정 IP를 검색하고 저장하기 전에 실시간 트래픽 로그와 비교하여 확인합니다.

4. OKX 계정 자체에 대해 이중 요소 인증을 활성화하여 손상된 API 자격 증명이라도 로그인 수준 보호를 우회할 수 없도록 합니다.

5. 잘못 구성된 프록시 또는 로깅 에이전트를 통해 자격 증명이 유출될 수 있는 호스트 환경의 의도하지 않은 아웃바운드 연결을 방지하기 위해 네트워크 송신 규칙을 모니터링합니다.

코드베이스의 비밀 키 처리

1. 소스 파일 내에 원시 자격 증명을 삽입하지 마십시오. 대신 애플리케이션 런타임 외부에서 초기화된 환경 변수를 통해서만 로드하세요.

2. Python에서 문자열 리터럴 대신 os.getenv('OKX_SECRET_KEY')를 사용하고, 누락된 경우 명시적인 오류 메시지로 시작 시 존재 여부를 확인하세요.

3. 프로덕션 Docker 배포에서는 빌드 시간 ARG 대신 --secret 플래그 또는 외부 비밀 마운트를 통해 비밀을 주입합니다.

4. OKX 비밀 키 길이와 일치하는 16진수 패턴을 검색하는 git-secrets 또는 사전 커밋 후크와 같은 도구를 사용하여 실수로 자격 증명이 노출되었는지 모든 git 기록을 감사합니다.

5. 활성 전략 배포 중에도 예외 없이 90일마다 키를 교체하고 갱신 시 이전 키를 즉시 무효화합니다.

서명 생성 규정 준수

1. 서명 문자열을 메서드 + 경로 + 타임스탬프 + 본문 으로 정확하게 구성합니다. 여기서 타임스탬프는 Unix 에포크 이후의 밀리초 단위여야 하며 ±1초 이내에 동기화되어야 합니다.

2. 비밀 키를 키로 사용하고 연결된 문자열을 메시지로 사용하여 HMAC-SHA256 해싱을 적용합니다. base64 인코딩 또는 패딩 조정은 허용되지 않습니다.

3. 결과 16진수 다이제스트를 수정이나 접두사 지정 없이 OK-ACCESS-SIGN 헤더 값으로 전송합니다.

4. 서명 구성에 사용된 것과 동일한 타임스탬프를 포함하는 OK-ACCESS-TIMESTAMP 헤더를 10진수 문자열 형식으로 포함합니다.

5. OKX의 공식 V5 API 문서에 게시된 알려진 테스트 벡터에 대해 동일한 출력을 재현하여 서명 정확성을 검증합니다.

런타임 동작 모니터링

1. 마스킹된 자격 증명 및 전체 요청 헤더를 사용하여 모든 아웃바운드 API 요청을 기록합니다. 단, 잔액이나 주문 ID가 포함된 응답 본문은 기록하지 마십시오.

2. API 키당 초당 20개 요청 이라는 문서화된 비율 제한을 초과하는 비정상적인 요청 빈도 급증에 대한 경고를 설정합니다.

3. 제출 전 주문 페이로드에서 파생된 체크섬을 사용하여 예상 매개변수와 실행된 주문을 교차 확인합니다.

4. 블록체인 탐색기를 통합하여 시작된 모든 출금을 독립적으로 확인합니다. 출금 허가가 비활성화된 상태로 유지되더라도 모니터링은 법의학 준비 역할을 합니다.

5. 타임스탬프, 운영자 ID, 정당성 메모를 포함하여 모든 API 관련 구성 변경에 대한 불변의 감사 추적을 유지합니다.

자주 묻는 질문

Q: 여러 서버에서 동일한 API 키를 재사용할 수 있습니까? A: 아니요. 각 서버 인스턴스에는 특정 아웃바운드 주소로 구성된 IP 화이트리스트가 포함된 전용 API 키가 있어야 합니다.

Q: 시스템 시계가 1초 이상 변동하면 어떻게 됩니까? A: 오류 코드 10000으로 인해 서명 확인이 실패합니다. pool.ntp.org와 같은 NTP 서비스를 사용하여 시간을 동기화하고 timedatectl 상태로 드리프트를 확인합니다.

Q: 암호는 대소문자를 구분합니까? 답: 그렇습니다. OKX는 암호문을 이진 데이터로 처리합니다. 대소문자, 공백 및 특수 문자는 API 키 생성 중에 입력한 대로 정확하게 유지됩니다.

Q: "읽기" 권한을 활성화하면 API 키 사용 통계가 노출됩니까? A: 아니요. 사용량 지표는 API 관리의 OKX 웹 인터페이스에만 표시되며 공용 또는 개인 끝점을 통해 검색할 수 없습니다.