怎么安全把交易所账户连给第三方工具(只读 API)
想让记账或组合工具自动读你的持仓,又怕把账户交出去出事?这篇把「只读 API」从头讲到尾:什么能开、什么打死别开、key 怎么保管、多久换一次,以及万一泄露了怎么止损。
大概是这么个场景把你带到这页的:你装了个记账或者组合追踪 App,它说「连一下你的交易所账户,就能自动同步持仓,不用手输了」。你心动,但手又停在那——把账户连给一个不认识的工具,它会不会偷偷把我的币转走?这个担心非常合理。好消息是,绝大多数正经的追踪工具,连的根本不是「能动你钱」的那种权限,而是一把只能看、不能动的钥匙。前提是:你得自己把它开成「只能看」。这篇就把这件事掰开揉碎,让你连得放心,也连得明白。
为什么记账和追踪工具要连 API
先说清楚它图你什么。一个组合管理工具或记账报税软件的核心活儿,是把你散在各处的资产凑成一张完整的图:你在交易所有多少 BTC、多少 USDT、买入均价是多少、这个月赚还是亏。这些数字要么你一笔笔手输(累、还容易错),要么——让工具自己去交易所「读」。
「读」这个动作就靠 API。你可以把它理解成交易所专门留的一个数据窗口:你发一把指定的钥匙给某个程序,这个程序就能隔着窗口看到你账户里有什么、最近有哪些成交记录。它看到的内容,取决于你给的那把钥匙被允许看哪些东西。整个机制的官方说明,可以参考 OKX 的 API 文档或币安的 API 介绍页——不用全看懂,知道「API 是交易所官方提供的程序接口」这个概念就行。想看具体某家怎么分权限创建,Kraken 的创建 API key 帮助文档是一个写得比较细的范例。
所以连 API 的价值很直接:省去手动录入,余额和成交自动对上账。但它的风险也来自同一处——你把一把能访问账户的钥匙交了出去。钥匙配得对,它只是个无害的读数器;配错了,它可能变成别人掏空你账户的入口。这篇剩下的篇幅,基本都在讲怎么把这把钥匙配对。
API key、secret、passphrase 到底是什么
你在交易所「创建 API」时,通常会拿到两到三段乱码字符串,名字一般叫 API Key、Secret Key,有些交易所(比如 OKX)还多一个 Passphrase。第一次看会有点懵,其实对应关系很好记:
| 名称 | 打个比方 | 要注意什么 |
|---|---|---|
| API Key | 你的「账号名」,告诉交易所「是这把钥匙在敲门」 | 相对没那么敏感,但也别到处贴 |
| Secret Key | 真正的「密码」,证明这把钥匙是你的 | 最敏感,通常只在创建时显示一次,关掉就再也看不到 |
| Passphrase | 你自己设的一个额外口令(OKX 等有此项) | 自己记牢,丢了这把 key 基本作废,得重建 |
关键认知是:Secret Key 一旦生成、页面关掉,交易所那边也不会再展示给你看——它只在创建的那一刻露一次脸。这意味着两件事:一是你得当场存好(怎么存,下面有专门一节);二是如果你把它泄露了,没法「改密码」式地补救,只能整把作废重建。
还有一点新手常误会:API key 不是你的登录密码,也不能用来登录网页或 App、不能改你的提现地址、不能改安全设置。它的能力被严格限制在「你创建时勾选的那几个权限」范围内。所以这几个权限怎么勾,才是真正决定安全的地方。
只读权限:这是整篇最重要的一段
如果你这篇只看一段,看这段。
大多数交易所创建 API 时,权限是分开勾选的,常见的几类是:
- 读取 / Read(要开):能查余额、持仓、历史成交、账单。追踪工具只需要这个。
- 交易 / Trade(一般别开):能替你下单、撤单。只有你明确要用「自动交易」「跟单机器人」这类工具时才会用到——而那类工具的风险是另一码事,我们在跟单与机器人风险那篇专门讲。
- 提现 / Withdraw(永远别开):能把币转出你的账户。没有任何记账或追踪工具需要这个权限。开了它,等于把保险柜的取款权交给了第三方。
为什么这条这么关键?因为权限是 API 安全的「天花板」。哪怕这个工具被黑、哪怕它的服务器被攻破、哪怕开发者起了坏心——只要你那把 key 只有读取权限,最坏的结果也就是你的持仓数据被人看到(这当然也不好,但和钱被转走是两个量级)。而一旦你手滑开了提现权限,那把 key 就成了一把能直接取钱的钥匙,安全完全押在「这个工具永远不出事」上——这种押注,不值当。
顺便说一句常见的安全设计:很多交易所即便你开了提现权限,真要提现时还会叠加二次验证、白名单地址、延时等多重限制(这也是为什么平台一般强烈建议关闭 API 提现)。但你不该把安全寄托在这些后备机制上。源头就别开,是最干净的做法。关于一般意义上的密钥/凭证安全原则,Investopedia 对 API 的解释和各家交易所自己的安全帮助页都值得一读;密码与凭证保管的通用建议,也可参考美国 FTC 的密码清单。
IP 白名单:再加一道锁
只勾读取权限之后,如果你想更稳一档,可以用「IP 白名单」(有的叫 IP 限制、绑定 IP)。意思是:这把 key 只允许从你指定的 IP 地址发起请求,别的地方拿着它也用不了。
对追踪类工具来说,正经的服务商通常会在它的帮助文档里给出「请把这些 IP 加进白名单」的列表——那是它服务器的出口 IP。你把这些 IP 填进交易所的白名单,就等于告诉交易所:「只认这个工具的服务器,其它一律拒绝。」这样即便 key 不慎泄露,攻击者从自己的机器上也调不动。
另外提醒一句:如果你给自己写脚本、自用读数据,IP 白名单几乎是必设项,因为你的家用或服务器 IP 通常是固定或可控的。给第三方 SaaS 工具用时,能不能设、怎么设,以工具方文档为准。
key 怎么保管,别让它躺在乱七八糟的地方
前面说过,Secret Key 只显示一次。那一刻你得存好。但「存好」不等于「随手粘到微信收藏 / 备忘录 / 桌面 txt」——这几个地方恰恰是最不该放的。我们见过太多人图省事,结果哪天换手机、或者备忘录同步到某个被盗的账号,key 就跟着流出去了。
保管 API key 的几条朴素原则:
- 别明文存在会同步/会被翻的地方。聊天软件收藏、未加密的云笔记、邮件草稿箱,都算高风险。
- 用密码管理器存。正经的密码管理器(带主密码加密的那种)专门干这个,比 txt 强太多。把 API Key / Secret / Passphrase 当成一组「密码」存进去就好。
- 能不存就不存。很多 SaaS 追踪工具是你把 key 填进它的页面、它自己保管,你本地其实不需要长期留底。填完确认能用,就把你临时存的那份删掉。要换工具时大不了重建一把。
- 一把 key 对一个用途。别用同一把 key 同时喂给三四个工具。分开建,哪个工具出问题,单独撤那一把就行,不牵连其它。
这一节的精神其实和保管钱包助记词是一脉相承的:最敏感的那串字符,决定了你能被攻击的下限,所以它该待在最难被碰到的地方。区别在于,API key 泄露顶多是只读数据外泄(前提是你没开提现),而助记词泄露是直接丢币——后者严重得多,但前者的卫生习惯越早养成越好。
定期轮换和撤销:钥匙也有保质期
很多人建了 API 就再也不管,几年前给某个早就卸载的工具开的 key,到今天还活着、还连着账户。这是个隐患。好习惯是把 API key 当成「会过期的东西」来对待:
- 定期清点。每隔一段时间(比如季度性地)登进交易所的 API 管理页,看看现在还挂着哪些 key、分别给了谁。认不出来、或者早不用了的,直接删。
- 停用工具就撤 key。你卸载了某个追踪 App,对应那把 key 也顺手在交易所撤掉。App 删了不等于授权没了——授权在交易所那边,得你主动去关。
- 怀疑就轮换。哪怕只是「这工具最近新闻不太对劲」「我好像在不安全的网络下填过它」,都值得重建一把新 key、撤掉旧的。轮换的成本很低(重新连一下而已),但能干净地切断旧 key 可能带来的风险。
第三方工具读你的数据,边界在哪
就算只给了读取权限,也值得想清楚:这个工具到底能看到我什么、不能看到什么、它会拿这些数据干嘛。
能看到的,是你那把 key 权限范围内的账户数据:余额、持仓、历史成交、账单流水这一类。换句话说,它能拼出你「在这个交易所有多少钱、买卖过什么」。这对一个记账工具是必要的,但你也该意识到——这本身是相当私密的财务信息。
看不到的,是你的登录凭据、提现密码、二次验证、银行卡这些。API 这条通道里根本不流过这些东西,所以哪怕工具方数据库被脱,攻击者也拿不到你的登录权限(再次强调:前提是你没开提现权限,否则故事就不一样了)。
真正要你自己把关的,是这家工具方是否可信、它怎么处理你的数据。挑工具时可以多看两眼:它有没有清楚的隐私政策?是知名度高、口碑长期可查的产品,还是冒出来没多久、来路不明的?我们在 CoinStats 和 Koinly 这些单品评测里,都会把「连接方式、要什么权限、数据怎么处理」当成必看项写进去;要横向比,工具对比表里也能一眼看到各家的连接门槛。把数据交给谁,比怎么交更重要。
在 OKX 大致怎么建一把只读 key
下面以 OKX 为例,讲讲创建只读 API 的大致流程。提醒在先:各家交易所的入口名称、按钮位置、权限叫法会随版本更新而变,具体界面以官方当前页面为准,这里只给你一个「该找什么、该勾什么」的地图。
- 找到 API 管理入口。一般在「账户设置 / 安全设置」里能找到「API」或「API 管理」这一项。登录后进去就是了。
- 新建一把 API。点「创建 API」之类的按钮。系统会让你给这把 key 起个名字(备注用,写清楚「给某某记账工具」方便你日后清点),并设一个 Passphrase(OKX 有此项,自己记牢)。
- 权限只勾「读取 / 只读」。这是最关键的一步——把交易、提现的勾全部留空,只留读取。看到「Withdraw / 提现」相关的选项,确认它是关闭状态。
- 有条件就设 IP 白名单。如果你用的工具提供了固定服务器 IP,把它填进绑定 IP;如果是自用脚本,填你自己的 IP。设不了就先空着,靠只读权限兜底。
- 完成安全验证、保存好返回的字符串。交易所通常要你过一道二次验证。通过后,它会显示 API Key / Secret Key(和 Passphrase)。Secret 只显示这一次,按第五节的办法当场存好。
- 回到工具里填入、连接。把这几段填进追踪工具的「连接交易所」页面,连上后核对一下余额对不对得上。对上了,临时存的那份就可以删掉了。
OKX 官方的 API 相关说明可以从 OKX API 文档进入;如果你用的是别家,比如币安,对应文档在 Binance API 页面;Coinbase 的开发者文档在 Coinbase Developer 平台。各家的「只读、不开提现」原则都是同一套,区别只在按钮叫什么、放在哪。
万一 key 泄露了,怎么办
先别慌,按顺序来。如果你只开了读取权限,那么即便 key 外泄,对方也只能看你的数据、动不了你的钱——这正是我们一开始就死磕「只读」的全部意义。但该补的措施一样都不能少:
- 第一时间撤销那把 key。登进交易所 API 管理页,把泄露的那把直接删掉。删了它立刻失效,这是最快、最彻底的止血。
- 检查账户有没有异常。看看登录记录、有没有不是你发起的活动。如果你不慎开了交易或提现权限,立刻检查持仓和提现记录,必要时联系官方客服、并按平台指引冻结相关功能。
- 换掉相关凭据。如果你怀疑泄露是因为账号被入侵(而不只是 key 本身),那就把登录密码、二次验证一并更新,排查设备是否中招。
- 重建一把干净的 key。确认环境安全后,再按只读原则重新建一把给工具用,并这次顺手设上 IP 白名单。
说到底,「出事怎么办」的答案,八成在事前就写好了:你当初只勾了只读,事后就只是虚惊;你当初手滑开了提现,事后就是真危机。所以这篇反复回到同一句——权限收到最小,是你能给自己上的最便宜也最有效的保险。
一张速查清单
把上面浓缩成你建 key 时可以对照的几条:
| 该做 | 别做 |
|---|---|
| 权限只勾「读取 / 只读」 | 开提现(Withdraw)权限 |
| 有固定 IP 就设白名单 | 给记账工具开交易权限 |
| 用密码管理器存 Secret | 把 key 粘进聊天收藏 / 桌面 txt |
| 一把 key 对一个工具 | 一把 key 喂给一堆工具 |
| 停用工具就去交易所撤 key | 卸了 App 就以为授权没了 |
| 定期清点、可疑就轮换 | 建了从此不管 |
| 只在亲手输入的官网建 key | 从广告 / 聊天链接进去操作 |
连 API 这件事,说穿了没那么吓人——它只是一把你能完全掌控的钥匙:要它看多少、它从哪儿能用、什么时候作废,全在你手里。把「只读」这条底线守住,剩下的就是省事和方便。配置好之后,再回头看看怎么挑组合管理工具,或者用工具对比表挑一个连接门槛你能接受的,把记账这件累活交出去。
本文涉及的权限名称、界面位置数据核对于 2026-06,各交易所会随版本调整,以官方页面当前显示为准。