معامله با API و امنیت کلیدهای دسترسی

• ایجاد کلید با حداقل دسترسی لازم

  فقط مجوزهای مورد نیاز (مثلاً فقط معامله اسپات بدون برداشت) را فعال کنید. کلید با دسترسی برداشت را هرگز روی سرور عمومی یا مخزن کد باز نگذارید.

• محدودیت IP و محیط اجرا

  در صورت پشتیبانی، IP سرور یا دفتر کار را به لیست مجاز محدود کنید تا در صورت لو رفتن کلید، سوءاستفاده از IPهای ناشناس سخت‌تر شود.

• چرخش و حذف کلیدهای قدیمی

  پس از افشای احتمالی یا تغییر نیرو، کلید جدید بسازید و قدیمی را غیرفعال کنید. هر کلید باید یک نام و تاریخ ایجاد داشته باشد تا ردیابی آسان شود.

• ذخیرهٔ Secret فقط یک‌بار نمایش داده می‌شود

  رشتهٔ secret را فقط در محیط امن کپی کنید؛ اگر گم شد باید کلید تازه بسازید. از ارسال secret در ایمیل یا چت تیم خودداری کنید.

• خطاهای امضا یا Timestamp نامعتبر

  ساعت سرور یا درخواست تکراری (replay) می‌تواند باعث رد درخواست API شود. مستندات امضای HMAC و محدودیت نرخ درخواست را رعایت کنید.

• جداسازی کلید تست و عملیات

  برای بات یا اسکریپت آزمایشی از محیط سندباکس یا کلید جداگانه استفاده کنید تا خطای کد باعث سفارش واقعی نشود.