币安 API Key 创建与 IP 白名单绑定实操

从零创建币安 API Key 并绑定 IP 白名单的完整流程:权限勾选、IPv4 段 203.0.113.0/24 写法、90 天到期轮换机制以及密钥泄露时的应急步骤,全部一次讲透。

发布于 2026-07-13 · 约 10 分钟 · 安全设置

在币安创建 API Key 的正确顺序是:先登录并完成 2FA、进入「账户 → API 管理」页面 → 新建 API 并命名 → 立即勾选 IP 白名单并填入你的固定出网 IPv4 段(例如 203.0.113.0/24)→ 按需勾选只读 / 现货交易 / 提现权限(默认建议只勾只读)→ 保存 API Secret 并妥善离线备份。每一把新创建的 API Key 有 90 天有效期,到期后必须轮换。

从网页开发者视角看,API Key 是把账户能力开放给程序脚本、交易机器人或数据看板的一把「实体钥匙」,一旦泄露就等于把账户的一部分权力交出去。把权限收紧到最小、把 IP 白名单绑到最严、把轮换周期设到最短,是三条铁律。下面把整个流程拆开来讲,并把 IPv4 段书写规则、权限层级、泄露应急一次说清楚。

创建 API Key 前的准备

网络出口 IP 必须先摸清

绑定 IP 白名单的前提是——你或你的程序有一个稳定的出口 IPv4,否则每次 IP 变了都要回来改白名单。三种典型情况:

  • 家用宽带:多数为动态 IP,需要 DDNS 或 VPN 固定;不推荐直接绑家宽 IP
  • 云服务器:出口 IP 通常固定,直接使用云厂商分配的公网 IPv4
  • 办公网络:需要与网管确认出口是单 IP 还是 NAT 池

如果暂时没有固定 IP,可以先创建 API Key 但不启用交易权限,仅开只读,绑 IP 后再逐步放权。

命名与用途要一一对应

不同用途的脚本用不同 API Key,避免一把钥匙对应多个场景。参考命名:

Key 名称 用途 权限 备注
read-only-portfolio 资产看板拉取余额 只读 每小时轮询
spot-bot-btc-usdt 现货网格机器人 现货交易 单交易对
data-export 每天导出成交记录 只读 只跑一次
treasury-withdraw 定时批量提现到冷钱包 提现 严禁开交易

分开的好处是——某一把泄露,只需吊销单条,不影响其他脚本,也方便审计每把 Key 的最后调用时间。

提前准备好 2FA 与邮箱验证

创建、编辑、删除 API Key 的每一步都要求 2FA 验证码 + 邮箱确认。如果最近做过 2FA 迁移(见 /posts/biabaweb-2fa-migration/),请先确认新验证器已经稳定。

权限层级怎么勾

币安 API Key 的权限从上到下分为几档,建议按最小权限原则勾选。

权限层级速查

权限 能做什么 风险 推荐勾选场景
只读 查余额、查订单、查成交 数据看板、税务导出
现货交易 下单、撤单 网格 / 套利机器人
合约交易 开仓、平仓、调杠杆 合约策略
杠杆借币 借款、还款 杠杆策略
提现 发起链上提币 极高 财务出款脚本
万能钱包 复合权限 极高 不建议

只读权限的默认动作

只勾只读时,API Key 只能执行 GET 类接口。这类 Key 即使泄露,攻击者也只能看到你的余额和历史,无法动资金,配合白名单几乎没有资产损失风险。任何做数据分析的场景都应该止步于此。

提现权限的额外要求

一旦勾选提现权限,币安会强制要求:必须先绑定 IP 白名单;必须搭配账户级提现白名单(见 /posts/biabaweb-withdrawal-whitelist/);单笔和 24 小时限额与账户级提现限额共享。任何脚本要走「自动提现」,都必须两个白名单同时启用。

Q:可以先勾只读,跑通后再改成交易吗? A:可以,也强烈推荐这个顺序。先用只读跑一周,观察 IP 是否变化、脚本是否稳定,一切正常后再逐档放权。放权时会再次要求 2FA + 邮箱确认。

Q:一把 Key 同时勾只读和现货交易,两者是叠加还是替换? A:叠加。只读权限默认对所有 Key 都开放,勾选交易权限相当于在只读之上叠加下单能力。

IP 白名单的写法

IP 白名单支持逗号分隔的多个条目,格式包括单个 IP、多个 IP 或 CIDR 段。

常见写法示例

  • 单个 IPv4:203.0.113.55
  • 多个 IPv4:203.0.113.55,203.0.113.56
  • IPv4 网段:203.0.113.0/24(表示 203.0.113.0 至 203.0.113.255)
  • 小段:203.0.113.0/29(表示 8 个连续 IP)

写法上要注意:

  1. 段掩码越大(数字越小)覆盖 IP 越多,越危险,一般不超过 /24
  2. 不支持 IPv6 白名单填 IPv4,反之亦然,需要按实际出口协议填
  3. 不支持域名或 DDNS 主机名,必须是数值 IP
  4. 段之间用英文逗号分隔,中间不要留空格

云服务器出口如何确认

如果部署在云服务器,登录 SSH 后用一个第三方 IP 探测服务确认公网出口,例如访问一个纯文本 IP 回显接口。切勿依赖控制台显示的「公网 IP」,因为有些云的出口和入口 IP 分开分配。

CIDR 段的选择建议

优先使用宿主的 /32(单个 IP)或 /29(8 个 IP,供云厂商弹性伸缩);避免使用 /24 除非确实有大规模伸缩场景;永远不要用 0.0.0.0/0 或不填 IP 白名单——不填等于允许所有 IP 调用,是极高风险。

校验白名单是否生效

绑定完成后,在白名单外的机器上用 API Key 调用任意接口,应该收到明确的 -2015 或类似「Invalid API-key, IP, or permissions」错误。收到这个错误说明白名单已经生效;如果仍然能调用,说明配置未保存或 IP 未绑。

90 天到期与轮换

从 2023 年起,币安对启用交易或提现权限的 API Key 强制施加 90 天有效期。到期后 Key 会自动被降级为只读,需要用户手动续期或轮换。

轮换的正确姿势

  1. 到期前 7 天,创建一把新的 API Key,权限、IP、备注保持一致
  2. 把新 Key 的 Access Key / Secret Key 部署到脚本,切换环境变量
  3. 观察 24 小时,确认新 Key 正常工作
  4. 到期后立即删除旧 Key,不要留着「以防万一」

这样做的好处:新旧 Key 有 24 小时并行期,切换不会中断;旧 Key 一到期立即销毁,减少泄露面。

不要靠自动续期

尽管币安提供了「延长有效期」按钮,但依赖自动续期意味着 Key 的 Access Key / Secret Key 永远不变,一旦历史上任何一次泄露都会成为长期风险源。定期轮换才是最有效的秘钥卫生。

与提现白名单结合

如果这把 Key 涉及提现,则轮换 Key 时不需要重新做提现白名单——账户级的地址簿与 Key 无关。但要重新做一次全流程演练:新 Key + 已有白名单地址走一次小额提现,确认链路无误后再放量。

密钥泄露应急

发现或怀疑 API Key 泄露时,按下面顺序执行,5 分钟内可以把损失降到最低。

  1. 打开「账户 → API 管理」,删除疑似泄露的 Key
  2. 登出所有会话(登录页勾选「登出其他设备」)
  3. 立即修改账户登录密码
  4. 检查「安全 → 登录历史」与「安全 → 操作日志」有无异常
  5. 检查「资金流水」有无未授权交易或提现
  6. 重置 2FA(可选,如果怀疑账户被侵入)
  7. 通过前往币安官网提交工单说明情况
  8. 一周内做一次完整的安全巡检:白名单、2FA、API、绑定邮箱

事后复盘

Key 是怎么泄露的?常见渠道:

  • 提交到 GitHub 公开仓库
  • 写在配置文件而配置文件被上传到聊天工具
  • 部署脚本包含 Key 且部署到多台机器
  • 员工离职未回收权限
  • 使用了带截屏 / 日志上传功能的开发工具

对每一次泄露做根因分析,改进流程,避免下一次。

风险提示:所有社交平台上主动加你、声称能帮你「代做 API 网格」的账号都是钓鱼。任何要你把 Access Key 或 Secret Key 私信发送的行为,都是无一例外的诈骗。下载币安 App只从官方入口进行,同样适用于识别真伪的规则详见 /posts/binance-anti-phishing-real-fake/

常见问题

一个账户最多能创建几把 API Key?

主账号目前支持最多创建 30 把 API Key,子账号独立计数。实际推荐同时活跃的 Key 不超过 5 把,多余的定期清理,减少运维压力。

子账号能不能独立创建 API Key?

可以。子账号独立管理 API 列表和 IP 白名单,权限与主账号完全隔离。做机构级隔离时非常有用:一个子账号跑一个策略,一把 Key 对应一个 IP。

忘记 Secret Key 怎么办?

无法找回。API Secret Key 只在创建时显示一次,币安不保存明文,遗失只能删除重建。这也提醒创建时一定要立即写入密码管理器或加密文件。

API Key 能被别人的 IP 使用吗?

不能,只要绑了 IP 白名单。攻击者即使拿到 Access Key + Secret Key,在白名单外的机器上调用也会立即失败。这是 IP 白名单的核心价值。

到期后想继续用旧 Key 行不行?

行,但会被降级为只读。想恢复交易或提现权限,需要手动点「延期」并重新做 2FA 验证。生产环境不建议这样做,应该主动轮换新 Key。

API 请求速率限制会因白名单变化吗?

不会。速率限制基于账户级配额,与 IP 白名单无关。如果频繁触发限流,需要优化调用频率或申请提高配额,不是通过多绑 IP 能解决的。

白名单里能填 CIDR 段吗?

能。写法如 203.0.113.0/24。但网段越大越危险,能写 /32 就不写 /24,能写 /29 就不写 /24。

我在多个云区域部署,如何管理白名单?

推荐每个区域一把独立的 API Key,绑定该区域的出口 IP。这样切换区域时只需操作对应的 Key,出问题定位也更快。不建议一把 Key 绑多云段——出问题排查困难,还会扩大攻击面。


文档发布于 2026-07-01,下次复测计划 2026-10-01。