如何在Bybit平台上管理API令牌生命週期？

令牌生成和權限分配

1. Bybit 要求透過其官方儀表板的「API 管理」部分建立 API 金鑰，其中使用者必須明確啟用每個金鑰的特定權限。

2. 必須為每個令牌分配粒度範圍（例如account.read 、 asset.transfer或order.write ）以強制執行最低權限存取。

3. 沒有 IP 白名單產生的令牌將自動限制為唯讀操作，除非在建立過程中明確啟用。

4. 平台對任何具有提款或資金轉移權限的 API 金鑰強制執行強制雙重認證 (2FA)。

5. 透過Bybit V5 API端點建立的金鑰必須包含一個類型參數，指定該代幣是用於現貨、衍生性商品或統一交易帳戶。

安全儲存和環境隔離

1. Bybit 建議使用環境變數或保險庫支援的秘密注入機制將 API 金鑰儲存在應用程式原始程式碼之外。

2. 整合Bybit Python SDK的開發者必須避免在pybit.unified_trading.HTTP初始化區塊中硬編碼憑證。

3. 生產部署應使用具有隔離網路策略的專用服務帳戶，而不是個人 API 金鑰。

4. Docker 化的應用程式必須透過磁碟區掛載或 Kubernetes Secret 來掛載 Secret，而不是將它們作為建置參數傳遞。

5. 本機開發環境需要嚴格的 .gitignore 規則，以防止意外提交包含 BYBIT_API_KEY 和 BYBIT_API_SECRET 的.env檔。

使用監控和異常檢測

1. Bybit 提供只能透過經過驗證的儀表板會話存取的即時 API 呼叫日誌，顯示時間戳記、端點、狀態代碼和請求大小。

2. 速率限制是按 API 金鑰（而不是按使用者）強制執行的，違規行為會立即觸發 429 回應，且沒有寬限期。

3. 異常的地理來源峰值，例如來自高風險 ASN 範圍的突然請求，會在 90 秒內觸發自動金鑰暫停。

4. 平台將重複失敗的簽章驗證嘗試標記為潛在的憑證洩漏事件。

5. 當 API 金鑰超過每日配額閾值的 75% 時，使用者會收到電子郵件警報，提示在進行限制之前進行手動審核。

關鍵輪調和退役程序

1. Bybit 不會自動使 API 金鑰過期，從而使計劃輪調成為開發人員透過 CI/CD 管道強制執行的責任。

2. 每個輪換週期都必須涉及產生新金鑰對、更新所有相關服務以及在刪除舊金鑰之前驗證功能。

3. DELETE /api/auth/token端點需要初始建立期間傳回的確切金鑰 ID，而不是金鑰字串本身。

4. 已撤銷的金鑰在審核日誌中保留 90 天，但在任何情況下都無法重新啟動或重複使用。

5. 執行金鑰輪換的自動化腳本必須在繼續刪除之前驗證來自 Bybit 的/api/auth/tokens端點的回應代碼。

常見問題解答

Q：刪除後我可以重複使用 API 金鑰嗎？不會。一旦透過DELETE /api/auth/token刪除，金鑰將永久失效，並且無法使用相同的參數恢復或重新產生。

Q：Bybit 是否支援 OAuth 2.0 進行第三方整合？不會。 Bybit 專門使用帶有 API 金鑰-秘密對的 HMAC-SHA256 簽章請求。 OAuth 2.0 未在任何公共 API 表面上實作。

Q：如果我的 API 金鑰同時超過多個端點的速率限制，會發生什麼事？每個端點在獨立的速率限制下運作。超過下單限制不會影響資產餘額查詢，但全域濫用偵測可能會暫停整個金鑰。

Q：測試網 API 金鑰是否遵守與主網金鑰相同的安全策略？是的。測試網密鑰需要相同的權限範圍、IP 白名單和 2FA 強制執行。它們也出現在與生產金鑰相同的審核日誌介面中。