如何使用Kraken API進行身份驗證

了解Kraken API身份驗證要求

要與Kraken API安全互動，任何私人終點（例如檢索帳戶餘額，進行交易或支票訂單狀態）都需要身份驗證。公共終點（例如市場數據或股票信息）不需要身份驗證。但是，對於私有端點，Kraken使用API密鑰和基於秘密的HMAC-SHA512簽名方案來驗證請求。此方法可確保只有授權用戶才能訪問敏感數據或執行交易操作。該過程涉及使用您的秘密密鑰，請求路徑，帖子數據和動態非CE值為每個請求生成一個簽名。

API密鑰充當您的公共標識符，而秘密密鑰則用於生成加密簽名。將您的秘密密鑰存儲並切勿將其暴露在客戶端代碼或公共存儲庫中至關重要。 Kraken支持兩因素身份驗證（2FA）以進行帳戶訪問，強烈建議使其能夠保護您的API憑據。

生成您的Kraken API鍵

在提出身份驗證的請求之前，您必須從Kraken帳戶儀表板中生成API鍵。登錄到您的Kraken帳戶並導航到“安全”選項卡。在API部分下，單擊“添加新的API密鑰” 。將提示您為密鑰設置權限。對於交易業務，請根據需要選擇“查詢資金”，“交易”和“提取資金” 。避免授予不必要的許可以降低風險。

在關鍵創建期間，您可以設置IP地址限制，以限制對特定IP地址的API訪問。通過確保請求僅來自受信任的位置，這增加了安全性。配置權限和IP過濾器後，單擊“生成鍵” 。 Kraken將顯示您的API密鑰和秘密鍵。立即復制並存儲秘密密鑰，因為出於安全原因將不會再次顯示。

經過身份驗證的Kraken API請求的結構

經過身份驗證的Kraken API請求必須包括特定的標題和正確構造的有效載荷。私人請求的終點是https://api.kraken.com/0/private/EndpointName 。該請求必須通過帖子發送，並包括三個基本標題：

• API-KEY ：您生成的公共API密鑰。
• API-SIGN ：請求的HMAC-SHA512簽名。
• 內容類型：必須設置為application/x-www-form-urlencoded 。

帖子主體必須包含一個NONCE參數。 Nonce是用於防止重播攻擊的單調增加的整數。每個隨後的請求必須具有比前一個請求更高的值。您可以使用具有微秒精度的時間戳生成NONCE，例如nonce=1678880099123456 。

使用HMAC-SHA512創建API-SIGN標頭

API符號標頭是身份驗證的最複雜部分。它是通過Hashing消息生成的，其中包括URI路徑，編碼的POST數據和消息身份驗證代碼（MAC）。按照以下步驟計算簽名：

• 使用URLENCODE編碼帖子數據（包括NONCE），以確保所有字符被正確逃脫。
• 通過將6位UNIX時間（自秒以來的秒）與URI路徑和編碼的郵政數據相結合，來加入消息。
• 從Base64格式解碼您的秘密鍵。
• 使用解碼的秘密作為計算串聯消息的HMAC-SHA512哈希的關鍵。
• 使用base64編碼生成的哈希來產生最終的API符號值。

例如，在Python中，可以使用hmac ， hashlib和base64庫來實現此功能。確保消息中使用的時間與Kraken的服務器時間同步，可以通過公共Time端點檢查。

示例：通過API獲取帳戶餘額

要檢索帳戶餘額，您需要調用Balance終點。這是構建請求的分步指南：

• 將端點URL設置為https://api.kraken.com/0/private/Balance 。
• 生成唯一的非CE值，例如int(time.time() * 1000000) 。
• 準備後有效載荷，為nonce=1678880099123456 。
• 通過串聯構建消息：
  • 6位UNIX時間戳（例如， 1678880099 ）
  • URI路徑/0/private/Balance
  • URL編碼的帖子數據
• 使用您的解碼秘密鍵來計算此消息的HMAC-SHA512哈希。
• 編碼base64中的哈希以形成API-SIGN標頭。
• 發送標頭的郵政請求：
  • API-Key: YOUR_API_KEY
  • API-Sign: GENERATED_SIGNATURE
  • Content-Type: application/x-www-form-urlencoded

如果成功，Kraken將返回包含您資產餘額的JSON回應。常見錯誤包括無效的簽名， Nonce太小或無效的API密鑰，這表明在身份驗證過程中的問題。

常見錯誤和故障排除技巧

在Kraken API身份驗證期間可能會出現幾個問題。一個常見的問題是“ EAPI：無效密鑰” ，這意味著提供的API密鑰是不正確或禁用的。仔細檢查您是否正在使用正確的鍵，並且尚未被撤銷。

另一個常見的錯誤是“ EAPI：無效簽名” 。這通常源於消息構建，時間漂移或編碼不當。確保使用NTP同步系統時鐘。即使是小時差也可能使簽名無效。

如果您收到“ egeneral：無效的nonce” ，則表明非CE值不大於先前的值。始終遞增非CE並避免重複使用值。使用微秒精確的時間戳有助於防止這種情況。

如果您的當前IP未列出您當前的IP，則防火牆或IP限制也可能會阻止請求。在Kraken API配置面板中驗證您的IP設置。

常見問題

我可以在多個應用程序中使用相同的API鍵嗎？是的，您可以在不同的應用程序上使用相同的API鍵，但是為每個應用程序創建專用鍵是更安全的。如果鑰匙受到損害，這允許更好的訪問控制和更容易的撤銷。

如果我失去秘密鑰匙，該怎麼辦？如果您失去了秘密鑰匙，則無法恢復它。您必須從Kraken帳戶中生成新的API密鑰。創建新密鑰後，使用新憑據更新所有應用程序，並禁用舊密鑰以維護安全性。

在共享服務器上使用Kraken API安全嗎？如果未採取適當的預防措施，則在共享服務器上使用Kraken API是有風險的。確保您的秘密密鑰存儲在環境變量或加密配置文件中，而不是純文本。限制API權限並使用IP白色列入以最大程度地減少曝光率。

我應該多久旋轉一次API鍵？沒有固定的規則，但是建議每90天或在懷疑安全漏洞後立即旋轉一次API鍵。常規旋轉降低了長期未經授權訪問的風險。