如何使用Kraken API进行身份验证

了解Kraken API身份验证要求

要与Kraken API安全互动，任何私人终点（例如检索帐户余额，进行交易或支票订单状态）都需要身份验证。公共终点（例如市场数据或股票信息）不需要身份验证。但是，对于私有端点，Kraken使用API密钥和基于秘密的HMAC-SHA512签名方案来验证请求。此方法可确保只有授权用户才能访问敏感数据或执行交易操作。该过程涉及使用您的秘密密钥，请求路径，帖子数据和动态非CE值为每个请求生成一个签名。

API密钥充当您的公共标识符，而秘密密钥则用于生成加密签名。将您的秘密密钥存储并切勿将其暴露在客户端代码或公共存储库中至关重要。 Kraken支持两因素身份验证（2FA）以进行帐户访问，强烈建议使其能够保护您的API凭据。

生成您的Kraken API键

在提出身份验证的请求之前，您必须从Kraken帐户仪表板中生成API键。登录到您的Kraken帐户并导航到“安全”选项卡。在API部分下，单击“添加新的API密钥” 。将提示您为密钥设置权限。对于交易业务，请根据需要选择“查询资金”，“交易”和“提取资金” 。避免授予不必要的许可以降低风险。

在关键创建期间，您可以设置IP地址限制，以限制对特定IP地址的API访问。通过确保请求仅来自受信任的位置，这增加了安全性。配置权限和IP过滤器后，单击“生成键” 。 Kraken将显示您的API密钥和秘密键。立即复制并存储秘密密钥，因为出于安全原因将不会再次显示。

经过身份验证的Kraken API请求的结构

经过身份验证的Kraken API请求必须包括特定的标题和正确构造的有效载荷。私人请求的终点是https://api.kraken.com/0/private/EndpointName 。该请求必须通过帖子发送，并包括三个基本标题：

• API-KEY ：您生成的公共API密钥。
• API-SIGN ：请求的HMAC-SHA512签名。
• 内容类型：必须设置为application/x-www-form-urlencoded 。

帖子主体必须包含一个NONCE参数。 Nonce是用于防止重播攻击的单调增加的整数。每个随后的请求必须具有比前一个请求更高的值。您可以使用具有微秒精度的时间戳生成NONCE，例如nonce=1678880099123456 。

使用HMAC-SHA512创建API-SIGN标头

API符号标头是身份验证的最复杂部分。它是通过Hashing消息生成的，其中包括URI路径，编码的POST数据和消息身份验证代码（MAC）。按照以下步骤计算签名：

• 使用URLENCODE编码帖子数据（包括NONCE），以确保所有字符被正确逃脱。
• 通过将6位UNIX时间（自秒以来的秒）与URI路径和编码的邮政数据相结合，来加入消息。
• 从Base64格式解码您的秘密键。
• 使用解码的秘密作为计算串联消息的HMAC-SHA512哈希的关键。
• 使用base64编码生成的哈希来产生最终的API符号值。

例如，在Python中，可以使用hmac ， hashlib和base64库来实现此功能。确保消息中使用的时间与Kraken的服务器时间同步，可以通过公共Time端点检查。

示例：通过API获取帐户余额

要检索帐户余额，您需要调用Balance终点。这是构建请求的分步指南：

• 将端点URL设置为https://api.kraken.com/0/private/Balance 。
• 生成唯一的非CE值，例如int(time.time() * 1000000) 。
• 准备后有效载荷，为nonce=1678880099123456 。
• 通过串联构建消息：
  • 6位UNIX时间戳（例如， 1678880099 ）
  • URI路径/0/private/Balance
  • URL编码的帖子数据
• 使用您的解码秘密键来计算此消息的HMAC-SHA512哈希。
• 编码base64中的哈希以形成API-SIGN标头。
• 发送标头的邮政请求：
  • API-Key: YOUR_API_KEY
  • API-Sign: GENERATED_SIGNATURE
  • Content-Type: application/x-www-form-urlencoded

如果成功，Kraken将返回包含您资产余额的JSON回应。常见错误包括无效的签名， Nonce太小或无效的API密钥，这表明在身份验证过程中的问题。

常见错误和故障排除技巧

在Kraken API身份验证期间可能会出现几个问题。一个常见的问题是“ EAPI：无效密钥” ，这意味着提供的API密钥是不正确或禁用的。仔细检查您是否正在使用正确的键，并且尚未被撤销。

另一个常见的错误是“ EAPI：无效签名” 。这通常源于消息构建，时间漂移或编码不当。确保使用NTP同步系统时钟。即使是小时差也可能使签名无效。

如果您收到“ egeneral：无效的nonce” ，则表明非CE值不大于先前的值。始终递增非CE并避免重复使用值。使用微秒精确的时间戳有助于防止这种情况。

如果您的当前IP未列出您当前的IP，则防火墙或IP限制也可能会阻止请求。在Kraken API配置面板中验证您的IP设置。

常见问题

我可以在多个应用程序中使用相同的API键吗？是的，您可以在不同的应用程序上使用相同的API键，但是为每个应用程序创建专用键是更安全的。如果钥匙受到损害，这允许更好的访问控制和更容易的撤销。

如果我失去秘密钥匙，该怎么办？如果您失去了秘密钥匙，则无法恢复它。您必须从Kraken帐户中生成新的API密钥。创建新密钥后，使用新凭据更新所有应用程序，并禁用旧密钥以维护安全性。

在共享服务器上使用Kraken API安全吗？如果未采取适当的预防措施，则在共享服务器上使用Kraken API是有风险的。确保您的秘密密钥存储在环境变量或加密配置文件中，而不是纯文本。限制API权限并使用IP白色列入以最大程度地减少曝光率。

我应该多久旋转一次API键？没有固定的规则，但是建议每90天或在怀疑安全漏洞后立即旋转一次API键。常规旋转降低了长期未经授权访问的风险。