Kraken API密钥设置：自动化交易的基石与权限配置详解

时间：2025-02-25 15:24:09 目录：案例阅读：54

Kraken API 密钥设置指南：自动化交易的基石

在加密货币交易的世界里，自动化交易策略凭借其效率和纪律性，越来越受到交易者的青睐。而Kraken作为一家历史悠久且声誉卓著的交易所，其API接口为开发者和交易者提供了无限的可能性。想要构建自己的自动化交易机器人，或者接入第三方交易平台，首先需要正确地设置 Kraken 的 API 密钥。本文将详细介绍如何在 Kraken 平台上创建和配置 API 密钥，为你的自动化交易之旅奠定坚实的基础。

一、API 密钥的重要性

API 密钥对于访问 Kraken 交易所的各种数据和服务至关重要。它本质上是一种身份验证机制，类似于一把数字钥匙，赋予你的应用程序或脚本以安全的方式与 Kraken 服务器进行通信的权限。这种通信能力使你能够自动执行各种操作，包括实时查询账户余额、提交新订单、修改现有订单、取消订单以及访问历史交易数据。每个 API 密钥都与特定的权限集相关联，这些权限决定了密钥可以执行的操作范围。谨慎配置 API 密钥的权限是至关重要的，既要确保自动化交易策略的顺畅运行，又要最大限度地降低潜在的安全风险。例如，仅用于读取市场数据的密钥不应具有下单的权限，以此来防止恶意程序利用该密钥进行未经授权的交易。合理的权限分配是保障账户安全，并避免不必要损失的关键措施。

二、登录 Kraken 账户并进入 API 管理页面

要开始使用 Kraken 的 API，您必须首先拥有一个有效的 Kraken 账户。如果您尚未注册，请访问 Kraken 官方网站（ https://www.kraken.com ）并按照屏幕上的指示完成注册流程。注册过程通常需要提供您的电子邮件地址、创建安全密码，并通过验证您的电子邮件地址来激活您的账户。完成注册后，使用您的用户名和密码登录到您的 Kraken 账户。

成功登录后，您需要导航到 Kraken 账户中的 API 管理页面。此页面允许您创建、配置和管理用于安全访问 Kraken API 的 API 密钥。按照以下详细步骤访问 API 管理页面：

点击页面右上角的用户名： 登录 Kraken 账户后，在页面右上角找到您的用户名或账户图标。点击您的用户名会展开一个下拉菜单，其中包含各种账户管理选项。
在下拉菜单中选择 “Security”（安全）： 在展开的下拉菜单中，查找并选择标有 “Security”（安全）的选项。此选项将您定向到安全设置页面，您可以在其中管理与您的 Kraken 账户相关的各种安全方面。
在安全页面，找到 “API” 选项并点击： 在安全设置页面中，向下滚动或浏览选项，直到找到标有 “API” 或 “API Management” 的部分。点击 “API” 选项将您带到 API 密钥管理页面。

API 密钥管理页面是您控制 API 密钥的地方，这些密钥允许您或您的应用程序以编程方式访问您的 Kraken 账户和执行操作。在此页面上，您可以执行以下操作：

创建新的 API 密钥： 生成具有特定权限和限制的新 API 密钥。创建新密钥时，您可以定义密钥可以访问的特定 API 端点，以及密钥允许执行的操作类型（例如，读取数据、下订单、提取资金）。
查看现有的 API 密钥： 查看您之前创建的 API 密钥列表，以及它们的权限和限制。
编辑现有的 API 密钥： 修改现有 API 密钥的权限和限制。例如，您可以启用或禁用对特定 API 端点的访问，或更改密钥的提款权限。
删除 API 密钥： 撤销 API 密钥的访问权限。删除 API 密钥后，它将不再能够访问您的 Kraken 账户或执行任何操作。

请务必安全地存储您的 API 密钥，切勿与他人分享。如果您怀疑您的 API 密钥已泄露，请立即删除该密钥并生成一个新的密钥。

三、创建新的 API 密钥

在 API 密钥管理页面，仔细查找并点击 “Generate New Key”（生成新密钥）按钮。此按钮通常位于页面顶部或底部，设计醒目以便用户快速找到。点击后，系统将引导您进入创建新 API 密钥的流程。该流程可能包含多个步骤，例如，为密钥设置名称，选择权限，以及配置IP白名单等。

四、配置 API 密钥权限

配置 API 密钥权限是至关重要的一步，直接关系到自动化交易系统的安全性和功能。您需要根据自动化交易策略的精准需求，仔细且有针对性地配置 API 密钥的各项权限。Kraken 提供了高度精细化的权限控制体系，务必谨慎选择，避免不必要的风险敞口。权限配置不当可能导致资金损失或程序运行异常。

Query Funds（查询资金）: 允许通过 API 查询账户的可用余额、冻结余额等详细资金信息。这是自动化交易策略得以运行的最基础前提，没有此权限，程序将无法了解账户的实时资金状况，也就无法进行有效的交易决策。
Query Ledger（查询账本）: 允许查询账户的完整账本记录，涵盖所有交易历史记录、充值记录、提现记录以及其他相关的财务活动记录。对于某些复杂的交易策略，例如回测、风险分析和绩效评估，可能需要访问历史账本数据，以便进行更深入的分析和建模。
Query Trades（查询交易）: 允许查询已经成交的订单的详细信息，包括成交价格、成交数量、成交时间、手续费等关键数据。通过此权限，程序可以追踪和分析历史交易表现，优化交易策略，并进行税务申报所需的必要记录。
Query Open Orders & Conditional Closes（查询挂单和条件单）: 允许查询当前账户中所有未成交的挂单和条件单的信息，包括订单类型、价格、数量、状态等。这是订单管理的核心权限，允许程序实时监控订单状态，并根据市场变化或策略调整及时修改或取消订单。
Create & Cancel Orders（创建和取消订单）: 允许通过 API 创建新的交易订单和取消现有的交易订单。这是自动化交易的核心功能，没有此权限，程序将无法自动执行任何买卖操作。在授予此权限时，务必谨慎评估程序的风险控制能力，防止出现意外交易或错误操作。
Cancel Only（仅取消订单）: 仅允许程序取消现有的交易订单，而不能创建新的订单。这是一种有效的风险控制手段，可以在紧急情况下限制程序的交易权限，防止程序在不符合预设条件的情况下进行交易。例如，可以在市场出现剧烈波动或程序出现异常时，临时启用此权限，以保护账户资金安全。
Deposit（充值）: 允许通过 API 发起充值请求，将资金从外部来源转移到 Kraken 账户。通常情况下，自动化交易程序不需要此权限，因为充值操作通常由人工完成。建议不要勾选此权限，以降低潜在的安全风险。
Withdraw（提现）: 允许通过 API 发起提现请求，将资金从 Kraken 账户转移到外部账户。 强烈建议不要授予此权限！ 除非您的自动化交易系统拥有极其严密和完善的提现安全机制，例如多重身份验证、白名单地址管理、人工审核等，否则授予此权限将带来极高的安全风险，可能导致资金被盗。
Manage Sub-accounts（管理子账户）: 允许通过 API 管理 Kraken 账户下的子账户，包括创建子账户、删除子账户、转移资金等操作。如果您的 Kraken 账户使用了子账户功能，并且需要通过 API 对子账户进行管理，则需要授予此权限。否则，可以忽略此权限。

在配置 API 密钥权限时，请务必遵循以下安全原则和最佳实践：

最小权限原则 (Principle of Least Privilege): 严格遵守最小权限原则，只授予程序执行其特定任务所需的最小权限集合，坚决避免授予不必要的权限。这可以有效降低潜在的安全风险，即使程序被入侵或出现漏洞，攻击者也无法利用不必要的权限进行恶意操作。
仔细阅读权限描述 (Read Descriptions Carefully): 在授予任何权限之前，务必仔细阅读每个权限的官方描述文档，充分了解其具体含义、功能范围以及潜在的风险。不要盲目授予权限，确保您完全理解每个权限的影响。
定期审查权限 (Regularly Review Permissions): 养成定期审查 API 密钥权限配置的好习惯，例如每月或每季度进行一次审查。随着交易策略的调整或系统环境的变化，API 密钥的权限配置可能需要进行相应的修改。及时审查并更新权限配置，确保其始终符合您的实际需求和安全标准。

五、设置密钥描述和 IP 限制（可选但强烈推荐）

为了方便高效地管理您的 API 密钥，建议为每个密钥设置一个清晰且具有描述性的标签，例如 “自动化交易机器人 A - 主账户” 或 “数据分析服务 - 北美区域”。详细的描述能够帮助您快速识别密钥用途，在密钥管理和审计过程中起到关键作用。除了描述之外，为了大幅增强安全性，强烈建议配置 IP 限制，仅允许来自预先授权的特定 IP 地址或地址段的请求访问您的 API 密钥。这能够有效地防止未经授权的访问和潜在的安全风险。

在 “IP 地址限制” 区域，您可以精确控制允许使用该 API 密钥发起请求的来源 IP 地址。您可以输入单个 IPv4 或 IPv6 地址，例如 “192.168.1.100” 或 “2001:db8::1”。为了允许来自一个 IP 地址范围的访问，可以使用 CIDR (无类别域间路由) 表示法。例如，输入 “192.168.1.0/24” 将允许从 192.168.1.0 到 192.168.1.255 范围内所有 256 个 IP 地址的访问。对于 IPv6，您可以使用类似的 CIDR 表示法，例如 “2001:db8::/32” 以指定一个 IPv6 地址段。务必仔细规划您的 IP 地址范围，确保仅授权必要的 IP 地址或地址段，以最大限度地减少潜在的安全风险。您也可以添加多个 IP 地址或 CIDR 块，以允许来自多个不同来源的访问。

如果选择不设置 IP 限制，则理论上任何 IP 地址都可以使用您的 API 密钥，这会显著增加密钥泄露和滥用的风险。这使得您的账户更容易受到未经授权的访问、数据泄露和其他安全威胁。因此，强烈建议您尽可能地设置 IP 限制，并定期审查和更新您的 IP 限制规则，以确保其与您的实际业务需求保持一致。请务必将 IP 限制与其他的安全措施结合使用，例如多因素身份验证 (MFA) 和 API 密钥轮换，以构建一个更强大的安全体系。

六、生成 API 密钥和 Secret Key

在完成所有必要的权限配置，并根据需要添加可选的描述信息以及设置 IP 地址访问限制后，点击 “Generate Key”（生成密钥）按钮，以启动 API 密钥的生成流程。

Kraken 平台将会生成两个至关重要的字符串，这两个密钥对是您访问和使用 Kraken API 的凭证，务必妥善保管。

API Key: 公钥，也称为 API 密钥，它是一个公开的标识符，用于唯一地识别您的 Kraken 账户。此公钥会被包含在 API 请求中，以便 Kraken 服务器能够识别请求的来源。您可以将 API Key 视为您的账户名称，但不应将其视为密码。
Private Key (Secret): 私钥，也称为 API 密钥 Secret，是一个高度敏感的密钥，用于对您的 API 请求进行数字签名，从而验证请求的真实性和完整性。私钥必须严格保密，切勿与他人分享，因为拥有您的私钥意味着可以代表您的账户执行操作。泄漏私钥可能会导致您的资金被盗或账户被非法控制。请务必将其存储在安全的地方，并采取必要的安全措施来保护它，例如使用加密存储或硬件安全模块 (HSM)。每次使用 API 时，都需要使用私钥对请求进行签名，以证明请求是由您发起的，并且在传输过程中没有被篡改。

务必妥善保管你的 Secret Key！ Secret Key 就像你的银行密码，泄露 Secret Key 会导致你的账户资金面临风险。不要将 Secret Key 存储在不安全的地方，不要将 Secret Key 分享给任何人，不要将 Secret Key 提交到公共代码仓库（如 GitHub）。

七、使用 API 密钥进行身份验证

在你的自动化交易程序中，为了确保交易的安全性和可靠性，你需要使用 API Key 和 Secret Key 对所有发送给 Kraken 服务器的请求进行身份验证。API Key 相当于你的用户名，用于标识你的身份；Secret Key 则是你的密码，用于生成签名，证明请求确实是由你发出的。不进行身份验证的请求会被服务器拒绝。

具体的身份验证方法会因你选择的编程语言以及 Kraken API 的版本而有所差异。常见的编程语言如 Python、JavaScript、Java 等都有相应的库可以简化 API 密钥的签名过程。

通常情况下，你需要使用你的 Secret Key 对请求数据进行 HMAC-SHA512 签名。HMAC-SHA512 是一种加密哈希算法，可以确保请求数据的完整性和真实性。生成的签名需要以特定的格式添加到请求头或请求体中。同时，你的 API Key 也需要添加到请求头中，以便 Kraken 服务器识别你的身份。务必注意保管好你的 Secret Key，避免泄露给他人，因为拥有 Secret Key 就可以代表你进行交易操作。

Kraken 官方文档提供了非常详尽的身份验证示例代码，涵盖了多种编程语言和 API 版本。强烈建议你参考官方文档提供的示例代码，以便正确地实现身份验证逻辑。在开发过程中，仔细阅读文档，理解签名生成的原理和步骤，可以帮助你避免常见的身份验证错误。

八、示例：使用 Python 和 Kraken API 进行身份验证

以下是一个使用 Python 和 Kraken API 进行身份验证的示例代码。此示例演示了如何使用您的 API 密钥和私钥对 Kraken API 请求进行签名，从而允许您访问需要身份验证的私有端点。

import hashlib import hmac import base64 import urllib.parse import requests

API_KEY = "YOUR_API_KEY" SECRET_KEY = "YOUR_SECRET_KEY" # 替换为你的 Secret Key

def kraken_request(uri_path, data=None, api_key=None, api_sec=None): api_url = "https://api.kraken.com" api_version = "0" uri = "/" + api_version + "/private/" + uri_path

if data is None:
    data = {}

headers = {}

if api_key and api_sec:
    postdata = urllib.parse.urlencode(data)

    # 构建用于签名的消息。消息包括 API 版本、URI 路径和 POST 数据的 SHA256 哈希值。
    encoded = (api_version + "/private/" + uri_path).encode() + hashlib.sha256(postdata.encode()).digest()

    # 使用您的私钥和 HMAC-SHA512 算法生成签名。
    signature = hmac.new(base64.b64decode(api_sec), encoded, hashlib.sha512)

    # 将 API 密钥和签名添加到请求标头。
    headers["API-Key"] = api_key
    headers["API-Sign"] = base64.b64encode(signature.digest()).decode()

# 发送 POST 请求到 Kraken API。
req = requests.post((api_url + uri), headers=headers, data=data)
return req

代码解释：

API_KEY 和 SECRET_KEY： 需要替换为你在 Kraken 交易所创建的 API 密钥和私钥。请务必妥善保管你的私钥，切勿泄露给他人。
kraken_request 函数： 此函数负责构建并发送已签名的 API 请求。
- uri_path ：你要访问的 API 端点的路径。
- data ：你要发送到 API 端点的任何数据，以字典形式表示。
- api_key ：你的 API 密钥。
- api_sec ：你的私钥。
数据编码： 使用 urllib.parse.urlencode(data) 将数据字典转换为 URL 编码的字符串。
签名生成： 该签名使用 HMAC-SHA512 算法生成，其密钥是你的私钥，消息是 API 版本、URI 路径和 POST 数据的 SHA256 哈希值的组合。
请求头： API 密钥和签名都添加到请求头中，以便 Kraken 可以验证请求的身份。
发送请求： 使用 requests.post() 发送带有正确头部信息的POST请求到Kraken API。

重要提示：

此示例代码仅用于演示目的。在生产环境中使用此代码之前，请务必仔细阅读 Kraken API 文档并进行适当的错误处理和安全措施。
请始终使用安全的方式存储你的 API 密钥和私钥。

示例：获取账户余额

为了查询您的Kraken账户余额，您需要向Kraken API发送一个经过身份验证的请求。以下代码展示了如何使用Python和 krakenex 库来实现这一目标。请注意，您需要预先安装 krakenex 库。如果没有安装，请使用 pip install krakenex 命令进行安装。

您需要创建一个 KrakenAPI 对象，并使用您的API Key和Secret Key对其进行初始化。这些密钥可在您的Kraken账户的API设置页面中找到。请务必妥善保管您的密钥，不要将其泄露给他人。

然后，使用 kraken_request 函数构造并发送请求。其中， "Balance" 是API端点，用于获取账户余额。 api_key 和 api_sec 参数分别用于指定您的API Key和Secret Key。

response = kraken_request("Balance", api_key=API_KEY, api_sec=SECRET_KEY)

在收到响应后，检查HTTP状态码。状态码 200 表示请求成功。如果状态码不是 200 ，则表示请求失败。您可以通过查看响应的文本内容来获取错误信息。

如果请求成功，解析响应的JSON数据。响应数据中包含您的账户余额信息。您可以根据需要提取和使用这些信息。

if response.status_code == 200: result = response.() print(result) else: print(f"Error: {response.status_code} - {response.text}")

请务必将 API_KEY 和 SECRET_KEY 替换为您的实际 Kraken API Key 和 Secret Key。这些密钥是访问您的 Kraken 账户所必需的，并且必须安全地存储。

该示例代码演示了如何使用 API Key 和 Secret Key 对请求进行身份验证和签名，从而安全地发送获取账户余额的请求。这是一种标准的API调用模式，可以应用于Kraken API的其他端点，以执行各种操作，例如下单、查询订单状态和获取市场数据。强烈建议查阅Kraken API的官方文档以了解所有可用端点和参数，以便充分利用Kraken平台的功能。请注意，API的使用可能会受到频率限制，请合理规划您的请求。

九、保护 API 密钥的安全

API 密钥的安全对于保护您的 Kraken 账户至关重要。一旦 API 密钥泄露，攻击者可能未经授权访问您的账户，导致资金损失或数据泄露。因此，采取严格的安全措施来保护您的 API 密钥至关重要。以下是保护 API 密钥安全的详细建议，旨在降低潜在的安全风险：

不要将 API 密钥存储在明文文件中: 明文存储 API 密钥极易被恶意软件或未经授权的用户访问。建议使用更为安全的方法来存储 API 密钥，例如：
- 环境变量： 将 API 密钥存储在操作系统或应用程序的环境变量中。这种方法可以防止 API 密钥直接暴露在代码中，并允许您在不修改代码的情况下更改 API 密钥。
- 加密文件： 使用加密算法（例如 AES）对存储 API 密钥的文件进行加密。解密密钥应安全地存储在其他地方，并仅在需要时访问。
- 密钥管理系统（KMS）： 使用专门的密钥管理系统（例如 HashiCorp Vault、AWS KMS 或 Google Cloud KMS）来安全地存储和管理 API 密钥。这些系统提供高级的安全功能，例如访问控制、审计和密钥轮换。
不要将 API 密钥提交到公共代码仓库: 将 API 密钥提交到公共代码仓库（例如 GitHub、GitLab 或 Bitbucket）会使密钥暴露给全世界。攻击者可以使用搜索工具轻松找到这些密钥，并利用它们访问您的 Kraken 账户。
- 在提交代码之前，务必检查代码中是否包含 API 密钥： 使用代码审查工具或手动检查代码，确保 API 密钥没有意外地包含在代码中。
- 使用 .gitignore 文件： 创建一个 .gitignore 文件，并将包含 API 密钥的文件或目录添加到该文件中。这将防止 Git 跟踪这些文件，从而避免将 API 密钥提交到公共代码仓库。
- 如果 API 密钥已意外提交到公共代码仓库，立即更换 API 密钥： 即使您已删除包含 API 密钥的提交，API 密钥仍然可能被缓存在 Git 历史记录中。为了安全起见，应立即更换 API 密钥。
定期更换 API 密钥: 定期更换 API 密钥可以降低密钥泄露带来的风险。即使 API 密钥已泄露，定期更换密钥也可以限制攻击者访问您的账户的时间。
- 建议至少每 90 天更换一次 API 密钥： 这是一个合理的密钥轮换周期，可以在安全性和便利性之间取得平衡。
- 在怀疑 API 密钥已泄露时，立即更换 API 密钥： 如果您怀疑 API 密钥已泄露（例如，发现未经授权的交易或 API 调用），应立即更换 API 密钥。
监控 API 密钥的使用情况: Kraken 提供了 API 使用日志，可以用来监控 API 密钥的使用情况，及时发现异常活动。
- 定期检查 API 使用日志： 检查 API 使用日志，查找未经授权的 API 调用、异常的交易活动或任何其他可疑行为。
- 设置警报： 设置警报，以便在检测到异常 API 使用情况时收到通知。例如，您可以设置警报，以便在 API 密钥用于进行大额交易或从未知 IP 地址访问时收到通知。
启用双重验证 (2FA): 启用双重验证可以提高账户的整体安全性。即使攻击者获得了您的 API 密钥，他们仍然需要提供双重验证码才能访问您的账户。
- 使用身份验证器应用程序： 建议使用身份验证器应用程序（例如 Google Authenticator 或 Authy）来生成双重验证码。这些应用程序比短信验证码更安全。
- 备份您的双重验证密钥： 如果您丢失了您的身份验证器应用程序或设备，您将需要备份密钥才能恢复您的双重验证设置。
小心钓鱼邮件: 钓鱼邮件是攻击者用来窃取您的 API 密钥和其他敏感信息的常见方法。
- 不要点击来自不明来源的链接： 不要点击来自您不信任的来源的链接。这些链接可能指向恶意网站，这些网站可能会试图窃取您的 API 密钥。
- 不要在可疑网站上输入 API 密钥： 在输入 API 密钥之前，请务必验证网站的真实性。检查网站的 URL 是否正确，并确保网站使用 HTTPS 加密。
- 警惕要求您提供 API 密钥的电子邮件： Kraken 不会通过电子邮件要求您提供 API 密钥。如果您收到要求您提供 API 密钥的电子邮件，请将其视为可疑邮件并立即删除。