币安 API Key 创建与 IP 白名单绑定实操
从零创建币安 API Key 并绑定 IP 白名单的完整流程:权限勾选、IPv4 段 203.0.113.0/24 写法、90 天到期轮换机制以及密钥泄露时的应急步骤,全部一次讲透。
在币安创建 API Key 的正确顺序是:先登录并完成 2FA、进入「账户 → API 管理」页面 → 新建 API 并命名 → 立即勾选 IP 白名单并填入你的固定出网 IPv4 段(例如 203.0.113.0/24)→ 按需勾选只读 / 现货交易 / 提现权限(默认建议只勾只读)→ 保存 API Secret 并妥善离线备份。每一把新创建的 API Key 有 90 天有效期,到期后必须轮换。
从网页开发者视角看,API Key 是把账户能力开放给程序脚本、交易机器人或数据看板的一把「实体钥匙」,一旦泄露就等于把账户的一部分权力交出去。把权限收紧到最小、把 IP 白名单绑到最严、把轮换周期设到最短,是三条铁律。下面把整个流程拆开来讲,并把 IPv4 段书写规则、权限层级、泄露应急一次说清楚。
创建 API Key 前的准备
网络出口 IP 必须先摸清
绑定 IP 白名单的前提是——你或你的程序有一个稳定的出口 IPv4,否则每次 IP 变了都要回来改白名单。三种典型情况:
- 家用宽带:多数为动态 IP,需要 DDNS 或 VPN 固定;不推荐直接绑家宽 IP
- 云服务器:出口 IP 通常固定,直接使用云厂商分配的公网 IPv4
- 办公网络:需要与网管确认出口是单 IP 还是 NAT 池
如果暂时没有固定 IP,可以先创建 API Key 但不启用交易权限,仅开只读,绑 IP 后再逐步放权。
命名与用途要一一对应
不同用途的脚本用不同 API Key,避免一把钥匙对应多个场景。参考命名:
| Key 名称 | 用途 | 权限 | 备注 |
|---|---|---|---|
read-only-portfolio |
资产看板拉取余额 | 只读 | 每小时轮询 |
spot-bot-btc-usdt |
现货网格机器人 | 现货交易 | 单交易对 |
data-export |
每天导出成交记录 | 只读 | 只跑一次 |
treasury-withdraw |
定时批量提现到冷钱包 | 提现 | 严禁开交易 |
分开的好处是——某一把泄露,只需吊销单条,不影响其他脚本,也方便审计每把 Key 的最后调用时间。
提前准备好 2FA 与邮箱验证
创建、编辑、删除 API Key 的每一步都要求 2FA 验证码 + 邮箱确认。如果最近做过 2FA 迁移(见 /posts/biabaweb-2fa-migration/),请先确认新验证器已经稳定。
权限层级怎么勾
币安 API Key 的权限从上到下分为几档,建议按最小权限原则勾选。
权限层级速查
| 权限 | 能做什么 | 风险 | 推荐勾选场景 |
|---|---|---|---|
| 只读 | 查余额、查订单、查成交 | 低 | 数据看板、税务导出 |
| 现货交易 | 下单、撤单 | 中 | 网格 / 套利机器人 |
| 合约交易 | 开仓、平仓、调杠杆 | 高 | 合约策略 |
| 杠杆借币 | 借款、还款 | 高 | 杠杆策略 |
| 提现 | 发起链上提币 | 极高 | 财务出款脚本 |
| 万能钱包 | 复合权限 | 极高 | 不建议 |
只读权限的默认动作
只勾只读时,API Key 只能执行 GET 类接口。这类 Key 即使泄露,攻击者也只能看到你的余额和历史,无法动资金,配合白名单几乎没有资产损失风险。任何做数据分析的场景都应该止步于此。
提现权限的额外要求
一旦勾选提现权限,币安会强制要求:必须先绑定 IP 白名单;必须搭配账户级提现白名单(见 /posts/biabaweb-withdrawal-whitelist/);单笔和 24 小时限额与账户级提现限额共享。任何脚本要走「自动提现」,都必须两个白名单同时启用。
Q:可以先勾只读,跑通后再改成交易吗? A:可以,也强烈推荐这个顺序。先用只读跑一周,观察 IP 是否变化、脚本是否稳定,一切正常后再逐档放权。放权时会再次要求 2FA + 邮箱确认。
Q:一把 Key 同时勾只读和现货交易,两者是叠加还是替换? A:叠加。只读权限默认对所有 Key 都开放,勾选交易权限相当于在只读之上叠加下单能力。
IP 白名单的写法
IP 白名单支持逗号分隔的多个条目,格式包括单个 IP、多个 IP 或 CIDR 段。
常见写法示例
- 单个 IPv4:
203.0.113.55 - 多个 IPv4:
203.0.113.55,203.0.113.56 - IPv4 网段:
203.0.113.0/24(表示 203.0.113.0 至 203.0.113.255) - 小段:
203.0.113.0/29(表示 8 个连续 IP)
写法上要注意:
- 段掩码越大(数字越小)覆盖 IP 越多,越危险,一般不超过 /24
- 不支持 IPv6 白名单填 IPv4,反之亦然,需要按实际出口协议填
- 不支持域名或 DDNS 主机名,必须是数值 IP
- 段之间用英文逗号分隔,中间不要留空格
云服务器出口如何确认
如果部署在云服务器,登录 SSH 后用一个第三方 IP 探测服务确认公网出口,例如访问一个纯文本 IP 回显接口。切勿依赖控制台显示的「公网 IP」,因为有些云的出口和入口 IP 分开分配。
CIDR 段的选择建议
优先使用宿主的 /32(单个 IP)或 /29(8 个 IP,供云厂商弹性伸缩);避免使用 /24 除非确实有大规模伸缩场景;永远不要用 0.0.0.0/0 或不填 IP 白名单——不填等于允许所有 IP 调用,是极高风险。
校验白名单是否生效
绑定完成后,在白名单外的机器上用 API Key 调用任意接口,应该收到明确的 -2015 或类似「Invalid API-key, IP, or permissions」错误。收到这个错误说明白名单已经生效;如果仍然能调用,说明配置未保存或 IP 未绑。
90 天到期与轮换
从 2023 年起,币安对启用交易或提现权限的 API Key 强制施加 90 天有效期。到期后 Key 会自动被降级为只读,需要用户手动续期或轮换。
轮换的正确姿势
- 到期前 7 天,创建一把新的 API Key,权限、IP、备注保持一致
- 把新 Key 的 Access Key / Secret Key 部署到脚本,切换环境变量
- 观察 24 小时,确认新 Key 正常工作
- 到期后立即删除旧 Key,不要留着「以防万一」
这样做的好处:新旧 Key 有 24 小时并行期,切换不会中断;旧 Key 一到期立即销毁,减少泄露面。
不要靠自动续期
尽管币安提供了「延长有效期」按钮,但依赖自动续期意味着 Key 的 Access Key / Secret Key 永远不变,一旦历史上任何一次泄露都会成为长期风险源。定期轮换才是最有效的秘钥卫生。
与提现白名单结合
如果这把 Key 涉及提现,则轮换 Key 时不需要重新做提现白名单——账户级的地址簿与 Key 无关。但要重新做一次全流程演练:新 Key + 已有白名单地址走一次小额提现,确认链路无误后再放量。
密钥泄露应急
发现或怀疑 API Key 泄露时,按下面顺序执行,5 分钟内可以把损失降到最低。
- 打开「账户 → API 管理」,删除疑似泄露的 Key
- 登出所有会话(登录页勾选「登出其他设备」)
- 立即修改账户登录密码
- 检查「安全 → 登录历史」与「安全 → 操作日志」有无异常
- 检查「资金流水」有无未授权交易或提现
- 重置 2FA(可选,如果怀疑账户被侵入)
- 通过前往币安官网提交工单说明情况
- 一周内做一次完整的安全巡检:白名单、2FA、API、绑定邮箱
事后复盘
Key 是怎么泄露的?常见渠道:
- 提交到 GitHub 公开仓库
- 写在配置文件而配置文件被上传到聊天工具
- 部署脚本包含 Key 且部署到多台机器
- 员工离职未回收权限
- 使用了带截屏 / 日志上传功能的开发工具
对每一次泄露做根因分析,改进流程,避免下一次。
风险提示:所有社交平台上主动加你、声称能帮你「代做 API 网格」的账号都是钓鱼。任何要你把 Access Key 或 Secret Key 私信发送的行为,都是无一例外的诈骗。下载币安 App只从官方入口进行,同样适用于识别真伪的规则详见 /posts/binance-anti-phishing-real-fake/。
常见问题
一个账户最多能创建几把 API Key?
主账号目前支持最多创建 30 把 API Key,子账号独立计数。实际推荐同时活跃的 Key 不超过 5 把,多余的定期清理,减少运维压力。
子账号能不能独立创建 API Key?
可以。子账号独立管理 API 列表和 IP 白名单,权限与主账号完全隔离。做机构级隔离时非常有用:一个子账号跑一个策略,一把 Key 对应一个 IP。
忘记 Secret Key 怎么办?
无法找回。API Secret Key 只在创建时显示一次,币安不保存明文,遗失只能删除重建。这也提醒创建时一定要立即写入密码管理器或加密文件。
API Key 能被别人的 IP 使用吗?
不能,只要绑了 IP 白名单。攻击者即使拿到 Access Key + Secret Key,在白名单外的机器上调用也会立即失败。这是 IP 白名单的核心价值。
到期后想继续用旧 Key 行不行?
行,但会被降级为只读。想恢复交易或提现权限,需要手动点「延期」并重新做 2FA 验证。生产环境不建议这样做,应该主动轮换新 Key。
API 请求速率限制会因白名单变化吗?
不会。速率限制基于账户级配额,与 IP 白名单无关。如果频繁触发限流,需要优化调用频率或申请提高配额,不是通过多绑 IP 能解决的。
白名单里能填 CIDR 段吗?
能。写法如 203.0.113.0/24。但网段越大越危险,能写 /32 就不写 /24,能写 /29 就不写 /24。
我在多个云区域部署,如何管理白名单?
推荐每个区域一把独立的 API Key,绑定该区域的出口 IP。这样切换区域时只需操作对应的 Key,出问题定位也更快。不建议一把 Key 绑多云段——出问题排查困难,还会扩大攻击面。
文档发布于 2026-07-01,下次复测计划 2026-10-01。