币安 API Key 用于第三方程序(量化机器人、行情监控、交易终端)访问账户。权限可分级设置:只读、交易、提币三级。错误的 API 权限设置是新手最容易踩的安全坑之一。本文整理 API 创建流程、权限分级、安全使用建议。
API 管理入口在 币安官网 「API Management」。安卓用户用 币安官方App 查看 API(创建建议在网页端),iOS 用户参考 iOS 安装教程。
API Key 的核心作用
A:让第三方程序代用户访问币安账户,做行情监控、自动交易、资产同步等。
API Key 的常见用途:
- 量化交易机器人
- 行情监控工具
- 资产组合管理
- 跟单平台
- 报税软件
- 数据分析
每个 API Key 包含两部分:
- API Key(公开标识符)
- Secret Key(私密签名密钥,不能泄露)
三级权限对比
A:只读 < 交易 < 提币,权限越大风险越大。
| 权限 | 能做 | 不能做 | 适用场景 |
|---|---|---|---|
| 只读(Read Info) | 查行情、查余额、查订单 | 任何写操作 | 行情监控、报税 |
| 现货 / 杠杆交易 | + 创建 / 取消订单 | 提币 | 量化交易 |
| 合约交易 | + 合约下单 | 提币 | 合约策略 |
| 提币(Enable Withdrawals) | + 提币 | / | 极少使用 |
绝对不要给不可信第三方开启「提币」权限。
第 1 步:创建 API Key
登录 binance.com → 「API Management」 → 点「Create API」。
输入 API 标签(如「我的量化机器人」),点「Create」。
第 2 步:邮箱 + 2FA 验证
创建 API Key 需要:
- 邮箱验证码
- Google Authenticator 验证码
完成验证后系统生成 API Key 和 Secret Key。
第 3 步:保存 API Key 和 Secret Key
这一步极重要。Secret Key 只在创建时显示一次,关闭页面后无法再次查看。
保存方式:
- 复制到密码管理器(Bitwarden / 1Password)
- 抄到纸上锁起来
- 不要发到任何聊天软件
- 不要截图存相册(云端备份风险)
如果 Secret Key 丢了,必须删除该 API 重新创建。
第 4 步:设置权限
刚创建的 API 默认只有「只读」权限。如果需要交易权限:
- 点击 API 旁边的「Edit Restrictions」
- 勾选「Enable Spot & Margin Trading」(现货 / 杠杆交易)
- 勾选「Enable Futures」(合约交易,如需)
- 不要勾选「Enable Withdrawals」(除非确实需要)
- 点「Save」
第 5 步:设置 IP 白名单
A:限制 API 只能从特定 IP 访问,是 API 安全的关键。
IP 白名单的作用:
- 即使 API Key + Secret Key 泄露
- 攻击者无法从其他 IP 调用该 API
- 大幅降低 API 被滥用的风险
操作步骤:
- 在 API 编辑页找「Restrict access to trusted IPs only」
- 勾选启用
- 输入授权的 IP 地址(如你的服务器 IP)
- 多个 IP 用逗号分隔
- 点「Save」
设置 IP 白名单后,API 只能从授权 IP 访问。
中段提醒:API 安全是新手容易踩的坑,权限分级和 IP 白名单缺一不可。币安官网 是 API 管理入口,币安官方App 也能查看,iOS 走 /download/。
API 安全的最佳实践
A:最小权限 + IP 白名单 + 定期检查 + 不长期使用。
5 条最佳实践:
- 最小权限原则:API 只开必需的权限。需要查行情就只开只读,需要交易就只开交易,永远不开提币。
- IP 白名单:必开。给 API 限制只能从特定 IP 访问。
- 定期检查:每月查一次「API Management」是否有未知的 API。
- 不长期使用:不用了立刻删除。长期闲置的 API 是安全隐患。
- 不轻信第三方:要求开「提币」权限的第三方平台一律不用。
API Key 的有效期
A:API Key 默认无有效期,但 90 天不使用会自动禁用。
有效期机制:
- 默认无固定到期日
- 90 天连续未使用 → 自动禁用
- 启用「Enable Trading」需要每 3-6 个月续期一次
如果你的 API 长期不用但还想保留,每 60-80 天调用一次 API 保持活跃。
API 滥用的常见风险
A:错误的 API 权限设置会导致账户资产被盗或被恶意交易。
常见风险:
| 风险 | 触发原因 |
|---|---|
| 资产被提走 | 开了「提币」权限 + Key 泄露 |
| 被恶意交易 | 开了「交易」权限 + Key 泄露 |
| 价格被砸 | 大额恶意卖出 |
| 杠杆被爆仓 | 高倍合约恶意开仓 |
| 订单被取消 | 行情套利被打断 |
避免风险的核心是:最小权限 + IP 白名单。
第三方平台的 API 接入
A:把 API 给第三方时核对该平台的安全性和声誉。
接入第三方前自查:
- 平台是否有公司主体(不是匿名)
- 是否有用户隐私政策
- 是否运营 1 年以上
- 是否有公开的安全审计报告
- 该平台要求什么权限(绝不开「提币」)
- 我能不能随时撤销 API
任何要求「提币」权限的第三方平台都是高风险。
API 删除流程
API Key 不用后立刻删除:
- 「API Management」-「找到要删除的 API」-「Delete」
- 邮箱 + 2FA 验证
- 删除后该 API 立即失效
删除后第三方平台无法再访问账户。
常见问题(FAQ)
Q:什么是币安 API Key? A:API Key 是身份标识符,让第三方程序访问你的币安账户。配合 Secret Key 用于签名请求。
Q:API Key 和密码的区别是什么? A:API Key 是程序访问凭证,密码是用户登录凭证。API Key 有独立的权限分级,密码代表全部权限。
Q:Secret Key 丢了能找回吗? A:不能。Secret Key 只在创建时显示一次。丢了必须删除该 API 重新创建。
Q:API 创建免费吗? A:免费。币安所有 API Key 都是免费创建。但调用频率有限制(按 API 等级)。
Q:API Key 一定要开 IP 白名单吗? A:强烈建议。即使 API Key + Secret Key 泄露,IP 白名单仍能阻止攻击者从其他 IP 调用。
Q:API 可以让别人用吗? A:技术上可以,但极不安全。建议每个使用者创建自己的 API。一旦 API 给别人用,安全风险无法控制。
写在最后
币安 API Key 是程序访问凭证,权限分级管理。最小权限原则 + IP 白名单是 API 安全的核心。
新手如果用第三方量化机器人 / 跟单平台,绝对不要开「提币」权限。开「现货 / 杠杆交易」权限就够。永远不要让第三方拥有提走资产的能力。
币安官网 是 API 管理入口,币安官方App 同步显示,iOS 走 /download/。
BaCoder 是独立第三方文档站,与 Binance 公司没有任何隶属、代理或商业合作关系。