BitMEX API 配置指南
BitMEX API 提供了强大的接口,允许开发者程序化地访问和控制 BitMEX 交易平台。本文将详细介绍如何配置 BitMEX API,包括生成 API 密钥、理解 API 权限以及常用的API调用方法。
1. 获取 API 密钥
访问 BitMEX API 的首要步骤是生成一对 API 密钥。API 密钥是访问 BitMEX 交易平台及其数据的重要凭证。每个API密钥都由两个关键部分组成:API Key ID(也称为API 密钥)和 API Secret(也称为API 密钥密钥)。
API Key ID ,也称为 API 密钥,是一个公开的标识符,用于唯一地标识你的应用程序或账户。它类似于你的用户名,告知BitMEX服务器哪个应用程序或账户正在发出请求。请务必妥善保管,但可以公开分享以用于调试目的或配置客户端。
API Secret ,也称为 API 密钥密钥,则是一个私密的密钥,用于对你的API请求进行签名。它类似于你的密码,确保请求的真实性和完整性。每次你向BitMEX API发送请求时,都需要使用你的API Secret对请求进行签名。API Secret 必须严格保密,切勿与任何人分享。如果你的 API Secret 泄露,其他人可能会冒充你的应用程序或账户执行操作。如果怀疑密钥已泄露,请立即撤销并生成新的密钥对。
生成 API 密钥后,请将其安全地存储在你的应用程序中。避免将 API 密钥硬编码到你的代码中,而是使用环境变量或其他安全的存储机制。BitMEX 提供不同权限级别的API密钥,允许你根据应用程序的需要限制API密钥的权限。例如,你可以创建一个只读API密钥,该密钥只能用于获取市场数据,而不能用于下订单。生成API密钥时,请仔细考虑你需要的权限级别,并选择最合适的选项,以确保API密钥的安全性。通常情况下,建议限制API密钥的权限,仅授予应用程序执行其功能所需的最低权限。
步骤如下:
- 登录 BitMEX 账户: 使用已注册的用户名和密码安全地登录您的 BitMEX 交易账户。请务必检查您是否正在访问 BitMEX 的官方网站,以避免钓鱼攻击。建议启用双重身份验证(2FA),以增强账户的安全性。
- 进入 API 设置页面: 成功登录后,导航至账户设置或个人资料页面。在其中,您应该能够找到名为 "API Keys"、"API 管理" 或类似的选项。此页面专门用于创建和管理您的 API 密钥。
- 创建 API 密钥: 在 API 设置页面,点击 "创建 API Key"、"添加新的 API 密钥" 或类似的按钮。系统可能会提示您输入密码或进行其他身份验证步骤以确认操作。
-
配置 API 权限:
这是至关重要的一步,需要仔细配置。BitMEX 提供精细的权限控制,允许您为每个 API 密钥指定特定的访问权限。请根据应用程序的具体需求,仅授予必要的权限,以最大限度地降低安全风险。常见的权限包括:
- Order: 授予应用程序下单、修改和取消订单的完全权限。如果您的应用程序需要进行自动交易或执行交易策略,则需要此权限。需要注意的是,授予此权限意味着应用程序可以代表您进行交易,请务必谨慎。
- Order Cancel: 仅允许应用程序取消订单。这是一个比 "Order" 权限更安全的选项,适用于只需要取消现有订单的应用程序。例如,如果您的应用程序需要监控市场并在特定条件下取消订单,则可以使用此权限。
- Withdraw: 允许应用程序发起提币请求。 这是一个非常危险的权限,强烈不建议在非必要情况下授予此权限。 授予此权限意味着应用程序可以从您的 BitMEX 账户中提取资金,如果应用程序被恶意利用,可能会导致资金损失。只有在您完全信任应用程序并且非常清楚其提币逻辑的情况下,才应该考虑授予此权限。
- Account: 允许应用程序查看账户信息,例如余额、持仓、交易历史记录等。此权限只允许应用程序读取您的账户信息,而不能进行任何交易或提币操作,因此相对安全。如果您只是想让应用程序监控您的账户状态,则可以使用此权限。
2. 理解 API 权限
BitMEX API 权限是控制你的应用程序可以执行哪些操作的关键机制。 深入理解这些权限至关重要,不仅可以保障资金安全,还能有效避免潜在的安全风险和非预期操作。不恰当的权限配置可能导致资金损失或账户被恶意利用。
- Order 权限: 允许应用程序提交新的订单、修改现有订单和取消订单。 这是交易机器人、量化交易程序和自动化交易策略最常用的权限。 使用此权限需要格外小心,确保程序逻辑的正确性,防止错误下单或恶意操作。建议对交易机器人进行充分的回测和模拟交易,以降低风险。
- Order Cancel 权限: 仅允许应用程序取消订单,而不能创建或修改订单。适用于只需要取消订单的场景,例如风险控制程序或手动干预系统。相比 Order 权限,Order Cancel 权限的安全性更高,可以有效防止未经授权的交易操作。 建议在不需要创建或修改订单的场景下优先使用此权限。
- Withdraw 权限: 允许应用程序发起提币请求。 这是一项非常危险的权限,应仅在绝对必要时才授予此权限。 错误的提币请求可能导致资金永久丢失。 强烈建议使用多重签名 (Multi-Sig) 等安全措施来保护提币操作,确保提币请求需要多个授权才能生效。 务必仔细阅读 BitMEX 官方关于提币权限的安全警告,并严格按照其建议执行。 考虑使用冷钱包存储大部分资金,仅将少量资金用于自动化提币。
- Account 权限: 允许应用程序查看账户信息,例如账户余额、未平仓头寸、历史交易记录、委托单状态等。这是监控账户状态、分析交易表现、进行风险评估的常用权限。 通过 Account 权限,可以实时了解账户的资金变动和交易情况,及时发现异常情况并采取相应措施。 建议定期审查账户信息,确保交易活动符合预期。
- Leads 权限: 与BitMEX的 Leads 项目相关,允许应用程序创建 Leads,获取 Leads 信息,管理 Leads 相关的推广活动。 此权限主要面向 BitMEX 的推广合作伙伴。
- Affiliate 权限: 允许应用程序访问 BitMEX 的联盟营销相关功能,包括查看联盟推广数据、生成推广链接、管理推广活动等。 此权限主要面向 BitMEX 的联盟营销合作伙伴。
- Settlement 权限: 允许应用程序查看结算信息,例如结算价格、结算时间、结算金额等。 此权限主要用于分析历史结算数据,评估交易策略的有效性。
3. API 调用方式
BitMEX API 采用标准的 RESTful 架构,这意味着你可以通过发送标准的 HTTP 请求(例如 GET、POST、PUT、DELETE)来与服务器进行交互。所有数据都以 JSON 格式进行传输,易于解析和处理。 为了确保安全性,API 调用通常需要进行身份验证,这涉及到使用 API 密钥和签名来验证请求的来源。
你可以选择多种编程语言和对应的 HTTP 客户端库来集成 BitMEX API。 例如,Python 开发者可以使用
requests
库,Java 开发者可以使用
HttpClient
或
OkHttp
,Node.js 开发者可以使用
axios
或
node-fetch
。 选择哪种语言和库取决于你的项目需求和个人偏好。 无论你选择哪种方式,都需要熟悉 HTTP 请求的基本概念,例如请求头、请求体、状态码等。
常用的 API 调用方法包括:
- GET: 用于从服务器检索数据。在加密货币 API 中,GET 请求常用于获取账户余额、交易历史、实时市场价格、订单簿深度和最新的交易数据。GET 请求通常通过 URL 参数传递查询条件,例如指定交易对或时间范围。
- POST: 用于向服务器提交数据以创建新的资源。在加密货币交易中,POST 请求通常用于提交新的订单(限价单、市价单等)、创建新的钱包地址、或者进行提币请求。POST 请求通常会将数据封装在请求体中,使用 JSON 格式进行传输。
- PUT: 用于更新服务器上的现有资源。在加密货币 API 中,PUT 请求可能用于修改现有订单(例如,调整限价单的价格或数量)、更新账户设置或者更新现有的API密钥的权限。与 POST 类似,PUT 请求也通常会将更新后的数据包含在请求体中。
- DELETE: 用于删除服务器上的资源。在加密货币交易中,DELETE 请求最常见的用途是取消未成交的订单。通过指定订单 ID,您可以向服务器发送 DELETE 请求来取消该订单。部分API也可能允许通过DELETE请求删除API密钥或撤销提币请求(如果尚未处理)。
API 请求的结构通常如下:
[HTTP Method] [API Endpoint]
请求头 (Headers):
-
Content-Type:
application/(指定请求体的格式为 JSON) -
api-key:
[Your API Key ID](您的 API 密钥 ID,用于身份验证) -
api-signature:
[Signature](请求签名的哈希值,用于验证请求的完整性和真实性) -
api-expires:
[Expiration Timestamp](签名过期的时间戳,Unix 时间戳格式,防止重放攻击)
请求体 (Body) (如果适用):
{
"parameter1": "value1",
"parameter2": "value2"
}
请求体通常使用 JSON 格式。 具体参数和结构取决于 API 端点的具体要求。 请务必参考 API 文档以了解详细信息。对于某些
GET
请求,可能不需要请求体。
HTTP Method: 定义了对指定资源执行的操作类型。 常见的HTTP方法包括:
-
GET: 从服务器检索数据。 -
POST: 向服务器提交数据以创建或更新资源。 -
PUT: 使用请求体中的数据替换现有资源。 -
DELETE: 删除指定的资源。
API Endpoint:
是服务器上资源的特定URL。 例如:
/api/v1/orders
.
重要概念:API 签名
为了确保 API 请求的安全性与完整性,防止恶意篡改和未经授权的访问,每个请求都需要进行数字签名。API 签名本质上是一种身份验证机制,它利用加密算法验证请求的来源,并确认请求在传输过程中是否被修改过。通过强制要求所有 API 请求都附带有效的签名,交易所可以有效地阻止未经授权的用户执行交易或访问敏感数据。
签名是使用你的 API Secret(类似于密码,务必妥善保管)和请求的内容计算出来的哈希值。你需要将请求的参数、HTTP 方法(如 GET、POST、PUT、DELETE)、请求的路径以及时间戳等信息按照特定的规则组合成一个字符串,然后使用 API Secret 作为密钥,通过哈希算法对该字符串进行加密。生成的哈希值就是 API 签名。由于 API Secret 只有你和交易所知道,因此只有持有正确 API Secret 的人才能够生成有效的签名。
BitMEX 使用 HMAC-SHA256 算法来生成签名。HMAC (Hash-based Message Authentication Code) 是一种消息认证码算法,它使用哈希函数和密钥来生成消息的摘要,用于验证消息的完整性和身份。SHA256 (Secure Hash Algorithm 256-bit) 是一种广泛使用的哈希函数,它将任意长度的输入数据转换为固定长度(256 位)的哈希值。HMAC-SHA256 将 SHA256 作为其哈希函数,并结合密钥来提供更强的安全性。在使用 HMAC-SHA256 进行签名时,需要注意以下几点:
- 数据准备: 将所有需要包含在签名中的数据(例如请求参数、时间戳)按照 API 文档规定的顺序和格式进行组织。
- 字符串拼接: 将准备好的数据拼接成一个字符串。拼接的规则必须与 API 文档保持一致,否则会导致签名验证失败。
- HMAC 计算: 使用你的 API Secret 作为密钥,使用 HMAC-SHA256 算法对拼接后的字符串进行哈希计算。
- 签名格式: 将生成的签名转换为 API 文档要求的格式,通常是 Base64 编码的字符串或十六进制字符串。
- 时间戳: 签名通常包含时间戳,交易所会检查时间戳的有效性,以防止重放攻击。确保你的系统时间与交易所的时间同步。
为了正确生成和验证 API 签名,请务必仔细阅读 BitMEX 官方 API 文档,并参考官方提供的示例代码。不同的编程语言可能有不同的 HMAC-SHA256 实现方式,选择适合你的编程语言的库或工具,并严格按照 API 文档的说明进行操作。错误的签名会导致请求被拒绝,因此在部署到生产环境之前,务必进行充分的测试。
签名计算步骤:
- 构建签名字符串: 签名字符串是安全通信的基础,它汇集了请求的关键要素,用于验证请求的完整性和来源。该字符串通常由以下部分组成:HTTP 方法(例如,GET、POST、PUT、DELETE),API 端点(请求的具体资源路径),以及请求体(如果存在,通常是 JSON 格式的数据)。这些元素按照预定义的顺序连接在一起,形成一个唯一的字符串,代表了该特定请求的本质。构建签名字符串时,必须严格遵循 API 文档的规范,确保各部分之间的分隔符、编码方式以及顺序完全一致,否则会导致签名验证失败。
- 计算 HMAC-SHA256 哈希: 为了防止篡改和伪造,构建好的签名字符串需要经过哈希处理。HMAC-SHA256 是一种带有密钥的哈希算法,它使用你的 API Secret 作为密钥,对签名字符串进行加密。API Secret 必须妥善保管,不能泄露给任何第三方,因为它相当于访问 API 的一把钥匙。HMAC-SHA256 算法会生成一个固定长度的哈希值,这个哈希值就是请求的签名。即使签名字符串中哪怕只有一个字符发生改变,计算出的 HMAC-SHA256 哈希值也会完全不同。
-
将签名添加到请求头:
计算出的签名需要添加到 HTTP 请求头中,以便 API 服务器能够验证请求的合法性。通常,签名会被添加到名为
api-signature的请求头中。除了签名之外,还可能需要添加其他与身份验证相关的信息,例如 API Key 或 Timestamp。这些信息可以帮助 API 服务器识别请求的发送者,并防止重放攻击。API 文档会明确指定需要添加哪些请求头,以及它们的格式和内容。遵循 API 文档的要求,正确设置请求头是成功调用 API 的关键。
示例(Python):
使用Python与BitMEX API交互的示例,该示例演示了如何生成API签名以及发送经过身份验证的HTTP请求。
import hashlib
import hmac
import time
import requests
import
api_key = "YOUR_API_KEY"
api_secret = "YOUR_API_SECRET"
base_url = "https://www.bitmex.com/api/v1" # 或 "https://testnet.bitmex.com/api/v1" (测试网)
def generate_signature(api_secret, method, endpoint, data=None):
"""生成API签名。
API签名用于验证请求的真实性,防止未经授权的访问。签名基于您的API密钥、API密钥密码、请求方法、端点和请求数据生成。"""
expires = int(time.time()) + 60 # 签名有效期 60 秒,实际应用中可调整
message = method + endpoint + str(expires) + (.dumps(data) if data else '')
signature = hmac.new(api_secret.encode('utf-8'), message.encode('utf-8'), digestmod=hashlib.sha256).hexdigest()
return signature, expires
def bitmex_request(method, endpoint, data=None):
"""向BitMEX API发出请求。
该函数处理API密钥和签名的生成,并发送相应的HTTP请求。它支持GET、POST、PUT和DELETE方法。"""
url = base_url + endpoint
signature, expires = generate_signature(api_secret, method, endpoint, data)
headers = {
'Content-Type': 'application/',
'api-key': api_key,
'api-signature': signature,
'api-expires': str(expires)
}
try:
if method == 'GET':
response = requests.get(url, headers=headers, params=data)
elif method == 'POST':
response = requests.post(url, headers=headers, data=.dumps(data))
elif method == 'PUT':
response = requests.put(url, headers=headers, data=.dumps(data))
elif method == 'DELETE':
response = requests.delete(url, headers=headers, data=.dumps(data))
else:
raise ValueError("Invalid HTTP method")
response.raise_for_status() # 检查 HTTP 状态码,如果不是200则抛出异常
return response.() #返回JSON格式的响应
except requests.exceptions.RequestException as e:
print(f"请求失败: {e}")
return None
示例:获取账户信息
为了获取您的BitMEX账户信息,您需要使用BitMEX API的
/user/margin
端点。以下代码示例展示了如何通过
bitmex_request
函数发起GET请求,并打印返回的账户信息。
account_info = bitmex_request('GET', '/user/margin')
这段代码会向BitMEX API发送一个GET请求,请求获取当前用户的保证金信息。
/user/margin
端点返回的数据包含账户余额、可用保证金、已用保证金、风险等级等重要信息。
bitmex_request
函数应该封装了API密钥认证和请求发送的逻辑。
if account_info:
在接收到API的响应后,需要检查响应是否成功。这通常通过检查HTTP状态码或响应体中的错误信息来实现。如果
account_info
不为空,意味着请求成功。
print(.dumps(account_info, indent=4))
如果请求成功,则将
account_info
包含的JSON数据格式化输出到控制台。
.dumps()
函数用于将Python字典转换为JSON字符串。
indent=4
参数表示使用4个空格进行缩进,使输出结果更易读。 通过这种方式,您可以清晰地查看BitMEX账户的详细信息,包括余额、保证金、未实现盈亏等关键数据。
示例:下单
使用BitMEX API进行下单操作,你需要构建包含必要参数的订单数据,并将其发送到
/order
端点。以下是一个使用Python示例,展示如何创建一个市价买单。
定义订单数据。订单数据是一个字典,其中包含了订单的关键信息。
symbol
字段指定交易的合约代码,例如
XBTUSD
代表比特币/美元永续合约。
side
字段指定交易方向,
Buy
代表买入,
Sell
代表卖出。
orderQty
字段指定订单数量,单位通常是合约数量。
ordType
字段指定订单类型,
Market
代表市价单,会立即以当前市场最优价格成交。
order_data = {
"symbol": "XBTUSD",
"side": "Buy",
"orderQty": 100,
"ordType": "Market"
}
接下来,使用
bitmex_request
函数发送订单请求。这是一个自定义函数,负责处理与BitMEX API的通信。它接收三个参数:
'POST'
表示使用POST方法提交请求,
'/order'
指定API端点,
data=order_data
将订单数据作为请求体发送到API。
new_order = bitmex_request('POST', '/order', data=order_data)
检查订单是否成功创建。如果
new_order
不为空,则表示订单已成功提交到BitMEX。你可以打印订单信息,例如使用
.dumps(new_order, indent=4)
将JSON格式的订单数据以易于阅读的方式打印出来。
indent=4
参数指定缩进量,使输出更具可读性。
if new_order:
print(.dumps(new_order, indent=4))
请注意,这只是一个简单的示例。在实际交易中,你可能需要处理更复杂的订单类型,例如限价单、止损单等。需要进行错误处理,以确保交易的可靠性。 `bitmex_request` 函数的具体实现需要根据你使用的编程语言和库来确定,通常会包括设置API密钥、签名请求、处理响应等步骤。 在生产环境中,务必妥善保管API密钥,并采取必要的安全措施,防止密钥泄露。
测试网:
在加密货币交易应用的开发和测试过程中,使用测试网至关重要。BitMEX 提供了一个专门的测试网络(testnet.bitmex.com),它是一个独立的、模拟的交易环境,完全复刻了 BitMEX 真实交易平台的功能。
通过 BitMEX 测试网,开发者和交易员可以使用模拟的数字货币(通常称为“测试币”)进行交易,而无需担心损失真实资金。这允许你在安全的环境中测试你的交易策略、API 集成以及其他相关功能。
要使用 BitMEX 测试网,你需要做的主要修改是更改 API 客户端中的
base_url
设置。将
base_url
从指向真实 BitMEX API 的 URL 更改为指向测试网 API 的 URL:
"https://testnet.bitmex.com/api/v1"
。
你需要在 BitMEX 测试网上创建一个独立的 API 密钥对。请注意,在真实交易平台上创建的 API 密钥不能在测试网上使用,反之亦然。访问 testnet.bitmex.com 并按照注册流程创建一个账户,然后生成新的 API 密钥。使用这些专门的测试网 API 密钥来验证你的 API 请求。
使用测试网的另一个优点是,你可以自由地进行实验,包括尝试不同的订单类型、杠杆设置以及其他交易参数,而不必担心任何经济后果。这有助于你更深入地理解 BitMEX 平台的运作方式,并确保你的应用程序在投入实际使用前能够按预期运行。
4. 错误处理
BitMEX API 在交互过程中可能会返回各种 HTTP 状态码和错误信息,理解和妥善处理这些错误是构建稳定可靠的应用程序的关键。以下是一些常见的错误类型及其详细说明:
- 400 Bad Request: 此错误表明客户端发送的请求存在问题。这通常意味着请求格式不正确、缺少必要的参数、参数类型错误或参数值超出了允许的范围。例如,尝试使用非法的合约代码或提供无效的日期格式都可能导致此错误。详细的错误信息通常会包含在响应体中,有助于诊断问题。
- 401 Unauthorized: 此错误表示客户端未经授权访问 API。常见原因是 API 密钥无效、过期或已被撤销,或者客户端尝试访问需要更高权限的端点。请务必仔细检查 API 密钥是否正确配置,并且具有访问所需资源的权限。还可以验证密钥是否已启用,以及是否存在任何与其关联的限制。
- 403 Forbidden: 此错误表明客户端已被服务器拒绝访问。这通常是因为客户端的 IP 地址未列入 BitMEX 的 IP 白名单中,或者客户端违反了 BitMEX 的服务条款。请确保用于发送 API 请求的 IP 地址已正确添加到你的 BitMEX 账户的 IP 白名单中,并仔细阅读并遵守 BitMEX 的服务条款。
- 429 Too Many Requests: 此错误表示客户端在短时间内发送了过多的请求,超过了 BitMEX API 的速率限制。BitMEX 对每个 API 端点都有不同的速率限制,以防止滥用和确保系统的稳定性。如果收到此错误,应立即停止发送请求,并等待一段时间后再重试。建议实施客户端速率限制机制,避免超过 API 的限制。
针对不同的错误代码,需要采取相应的措施进行处理,以确保应用程序的稳定性和可靠性:
- 检查请求参数: 当收到 400 错误时,应仔细检查请求参数的名称、类型和值。确保所有必需的参数都已提供,并且参数的值符合 API 的要求。可以使用 API 文档来验证请求格式和参数的有效性。
- 验证 API 密钥: 当收到 401 错误时,应验证 API 密钥是否正确配置,并且具有访问所需资源的权限。确保密钥未过期或被撤销,并且已正确添加到请求的头部或查询参数中。
- 检查 IP 白名单: 当收到 403 错误时,应检查用于发送 API 请求的 IP 地址是否已添加到 BitMEX 账户的 IP 白名单中。如果 IP 地址未列入白名单,则需要将其添加到白名单中才能访问 API。
- 降低请求频率: 当收到 429 错误时,应立即停止发送请求,并等待一段时间后再重试。建议实施客户端速率限制机制,避免超过 API 的限制。可以使用指数退避算法来逐步增加重试之间的时间间隔,以避免再次触发速率限制。可以监控 API 的速率限制头信息,以便更好地管理请求频率。
5. 安全注意事项
- 保护你的 API Secret: API Secret 相当于你访问 BitMEX 账户的私钥,必须极其小心地保管。切勿将 API Secret 泄露给任何第三方,无论是通过聊天、电子邮件还是其他方式。应避免将 API Secret 明文存储在任何不安全的位置,例如版本控制系统、配置文件或未加密的文本文件中。考虑使用安全的密钥管理解决方案来存储和管理你的 API Secret。
- 使用最小权限原则: 在创建 API 密钥时,务必只授予其完成特定任务所需的最低权限。例如,如果你的应用程序只需要读取市场数据,则不要授予其交易或提款的权限。这样可以最大程度地减少 API 密钥被盗用时可能造成的损害。BitMEX API 提供了精细的权限控制,请仔细阅读文档,确保你的 API 密钥只拥有必需的权限。
- 配置 IP 白名单: 通过配置 IP 白名单,你可以限制 API 密钥只能从预先批准的 IP 地址访问。这意味着即使 API Secret 泄露,未经授权的方也无法从其他 IP 地址使用该密钥。在 BitMEX 账户设置中配置 IP 白名单,指定允许访问 API 的 IP 地址范围。定期审查和更新 IP 白名单,以确保其始终反映你的应用程序的实际 IP 地址。
- 监控 API 使用情况: 定期监控你的 API 使用情况,可以帮助你及早发现潜在的安全风险。例如,如果你的 API 密钥突然开始生成大量交易或访问你不熟悉的 API 端点,这可能表明该密钥已被盗用。BitMEX 提供了 API 使用情况监控工具,你可以使用这些工具来跟踪 API 请求的数量、类型和来源。设置警报,以便在 API 使用情况超出预期范围时收到通知。
- 使用双因素认证 (2FA): 为你的 BitMEX 账户启用双因素认证,可以显著提高账户的安全性。2FA 要求你在登录时提供除了密码之外的第二种身份验证方式,例如来自手机应用程序的验证码。即使攻击者获得了你的密码,他们也无法在没有你的 2FA 代码的情况下访问你的账户。建议为你的 BitMEX 账户和所有相关的电子邮件账户启用 2FA。
- 定期轮换 API 密钥: 定期更换你的 API 密钥,可以降低 API 密钥被盗用的风险。即使你的 API Secret 没有泄露,也可能由于其他原因而被未经授权的方访问。通过定期轮换 API 密钥,你可以确保即使旧密钥被盗用,攻击者也无法长期使用它。建议至少每三个月轮换一次你的 API 密钥。在轮换 API 密钥之前,请确保已更新所有使用该密钥的应用程序和服务。
