Upbit API自动化交易：小白也能轻松上手！

Upbit API 交易设置

概述

本文将深入探讨如何配置 Upbit API，从而实现高效的自动化交易策略。Upbit API 提供了一套强大的接口，使开发者能够以编程方式与 Upbit 交易平台进行交互，执行包括自动下单、实时市场数据获取、账户信息查询以及历史交易记录分析等操作。掌握 Upbit API 的配置与使用，是开展量化交易、算法交易以及构建自动化交易系统的基石。本指南将详细介绍 API 密钥的生成、权限设置以及 API 使用过程中的安全注意事项，确保您能够安全、稳定地使用 Upbit API 进行交易。

准备工作

在使用 Upbit API 之前，需要进行以下准备工作，以确保您能够顺利地访问和利用 Upbit 的交易数据和功能：

• Upbit 账户: 您需要拥有一个经过实名认证的 Upbit 交易账户。实名认证是合规要求，也是使用 API 的前提。未进行实名认证的账户可能无法获得 API 访问权限或受到功能限制。请确保您的账户已完成所有必要的身份验证步骤。
• API 密钥: 您需要在 Upbit 网站上申请 API 密钥，包括 API 访问密钥（Access Key）和 API 安全密钥（Secret Key）。 API 密钥是您访问 Upbit API 的凭证，务必妥善保管。 请注意，不要将 API 密钥泄露给他人，并定期更换 API 密钥以提高安全性。 在 Upbit 网站的 API 管理页面可以创建和管理您的 API 密钥。建议启用二次验证，进一步保障API密钥的安全。
• 开发环境: 您需要搭建好编程环境，以便使用 Upbit API。这通常包括选择一种编程语言（例如 Python、Java、Node.js 或 Go），并安装相应的 HTTP 请求库和 JSON 处理库。 HTTP 请求库用于向 Upbit API 发送请求，例如 Python 的 `requests` 库或 Java 的 `HttpClient`。JSON 处理库用于解析 Upbit API 返回的 JSON 格式数据，例如 Python 的 `` 库或 Java 的 `Gson` 库。选择合适的集成开发环境 (IDE) 也能有效提高开发效率。 例如：
  • Python: 安装 Python 解释器和 `requests` 库。
  • Java: 安装 Java Development Kit (JDK) 和 `HttpClient` 及 `Gson` 库。

申请 API 密钥

1. 登录 Upbit 账户: 访问 Upbit 官网 (https://upbit.com) 并使用您的账户凭据登录。请确保您已完成所有必要的账户验证步骤，以便拥有完整的 API 访问权限。
2. 访问 API 管理页面: 成功登录后，导航至您的账户设置或个人资料页面。在此页面中，寻找名为 "API 관리" (API 管理) 的选项。此选项的位置可能因 Upbit 网站的更新而略有不同，通常位于 "我的信息"、"账户安全" 或类似的区域下。
3. 生成 API 密钥: 在 API 管理页面上，点击 "API 키 발급" (生成 API 密钥) 按钮。这将引导您进入 API 密钥创建流程。
4. 填写 API 信息: 您需要提供关于您即将创建的 API 密钥的必要信息，包括 API 密钥的名称和允许访问此密钥的 IP 地址。
   • API 密钥名称: 为您的 API 密钥指定一个易于识别且具有描述性的名称。例如，您可以根据您使用此密钥的具体项目或用途来命名，如 "交易机器人 API" 或 "数据分析 API"。清晰的命名有助于您在管理多个 API 密钥时进行区分。
   • 允许访问的 IP 地址: 为了最大限度地提高安全性，强烈建议您限制只有特定的 IP 地址才能访问您的 API 密钥。这可以防止未经授权的访问，即使您的密钥泄露。如果您在本地电脑上进行开发，请输入您本地电脑的公网 IP 地址。如果您在云服务器上部署应用程序，请输入云服务器的公网 IP 地址。您可以添加多个 IP 地址，每个地址一行，以支持不同的开发环境或服务器。要查找您的公网 IP 地址，可以使用各种在线 IP 查询工具（例如，在 Google 上搜索 "我的 IP 地址"）。 务必仔细且准确地填写允许访问的 IP 地址，错误的配置可能导致 API 请求失败或带来严重的安全风险。 请注意，动态 IP 地址可能会发生变化，因此您可能需要定期更新此设置。
5. 同意条款: 仔细阅读 Upbit 的 API 使用条款和条件。确保您理解并同意所有条款，包括使用限制、责任声明和数据处理政策。
6. 生成密钥: 在完成信息填写和条款阅读后，点击 "확인" (确认) 按钮以生成您的 API 密钥。
7. 保存密钥: 请务必妥善保管您的 API 密钥，包括 Access Key 和 Secret Key。 这两个密钥是您访问 Upbit API 的唯一凭证，任何持有这些密钥的人都可以代表您执行交易或访问您的账户信息。如果这些密钥泄露，可能会导致您的账户资金被盗用或其他安全风险。Upbit 只会在生成时显示一次 Secret Key，之后将无法再次查看。因此，强烈建议您立即将 Access Key 和 Secret Key 保存在一个安全的地方，例如使用加密的密码管理器（如 LastPass、1Password 或 KeePass）。请勿将密钥存储在未加密的文本文件中或通过不安全的渠道传输。定期审查您的 API 密钥使用情况，并根据需要轮换密钥，以进一步提高安全性。如果怀疑密钥已泄露，请立即撤销该密钥并生成新的密钥对。

API 密钥安全

API 密钥的安全在加密货币交易和开发中至关重要。API 密钥一旦泄露，攻击者可以模拟您的身份进行交易、访问您的账户信息，甚至提取资金，造成严重的经济损失和隐私泄露。因此，采取严格的安全措施保护 API 密钥是每个加密货币用户和开发者的首要任务。

• 限制 IP 访问: 为了进一步提高安全性，您应该仅允许来自特定 IP 地址的请求访问您的 API 密钥。这可以通过在交易所或API平台的安全设置中配置 IP 白名单来实现。 这样，即使密钥被泄露，未经授权的 IP 地址也无法使用该密钥发起请求。请务必审查并定期更新您的 IP 白名单，确保只包含必要的 IP 地址。
• 定期更换密钥: 定期轮换 API 密钥是防止密钥泄露后长期被利用的有效方法。 您应该设定一个固定的时间间隔（例如每月或每季度）来更换您的 API 密钥。 密钥轮换策略能够有效降低密钥泄露带来的风险。同时，需要安全地存储和管理旧密钥，以便在需要时进行审计。
• 不要在公共场合或代码中暴露密钥: 切勿将 API 密钥直接嵌入到您的应用程序代码中，尤其是不应将其上传到 GitHub、GitLab 等公共代码仓库。 攻击者经常扫描这些代码仓库以寻找泄露的密钥。 避免在公共论坛、社交媒体或其他任何公开场合分享您的 API 密钥。建议使用专门的密钥管理工具或服务来安全地存储和管理您的密钥。
• 使用环境变量或配置文件存储密钥: 避免将 API 密钥硬编码到代码中，这是一种非常不安全的做法。 正确的做法是使用环境变量或配置文件来存储您的 API 密钥。 环境变量是操作系统级别的配置设置，可以在不修改代码的情况下更改。 配置文件（如 .env 文件）是存储配置数据的文本文件，可以在应用程序运行时读取。 将 API 密钥存储在环境变量或配置文件中可以避免密钥泄露到代码仓库中，同时方便您在不同的环境（如开发、测试和生产环境）中使用不同的密钥。

API 认证

Upbit API 使用 JSON Web Token (JWT) 机制进行身份认证，确保请求的安全性与合法性。JWT 是一种开放标准 (RFC 7519)，定义了一种紧凑且自包含的方式，用于在各方之间安全地传输 JSON 对象形式的信息。

为了使用 Upbit API，您需要生成并使用 JWT。生成 JWT 的过程依赖于您的 Access Key 和 Secret Key。Access Key 相当于您的用户名，用于标识您的身份；Secret Key 则相当于密码，用于验证您的身份。请务必妥善保管您的 Secret Key，切勿泄露给他人，以防止您的账户被非法访问。

生成 JWT 后，您需要在每个 API 请求的 Authorization 头部中携带该 JWT。 Authorization 头部通常采用 "Bearer" 方案，例如： Authorization: Bearer your_generated_jwt 。服务器会验证 JWT 的签名，确认请求的合法性，并根据 JWT 中包含的信息授权访问相应的 API 资源。

JWT 的生命周期需要仔细考虑。通常，JWT 会设置一个过期时间 (expiration time)，以降低密钥泄露带来的风险。如果 JWT 过期，您需要重新生成一个新的 JWT。Upbit 可能会对 JWT 的有效期有具体要求，请查阅官方文档了解详情。不正确的 JWT 或缺失的 Authorization 头部会导致 API 请求失败，并返回相应的错误代码。

生成 JWT

JSON Web Token (JWT) 是一种开放标准 (RFC 7519)，用于在身份提供者和服务提供者之间安全地传输 JSON 对象作为紧凑且自包含的方式。JWT 可以被验证和信任，因为它是经过数字签名的。在加密货币领域，JWT 常常被用作 API 身份验证和授权机制，确保只有经过授权的用户或应用程序才能访问特定资源。

以下是使用 Python 生成 JWT 的示例代码：

import jwt
import uuid
import hashlib

上述代码导入了必要的 Python 库。 jwt 库用于生成和验证 JWT， uuid 库用于生成唯一标识符 (nonce)， hashlib 在某些情况下可能用于密钥派生或数据完整性检查，但在此示例中未直接使用。

access_key = "YOUR_ACCESS_KEY"
secret_key = "YOUR_SECRET_KEY"

access_key 和 secret_key 是用于 API 身份验证的关键凭据。 access_key 通常是一个公开的标识符，用于标识用户或应用程序，而 secret_key 是一个保密的密钥，用于对 JWT 进行签名，防止篡改。请务必安全地存储 secret_key ，避免泄露。

payload = {
'access_key': access_key,
'nonce': str(uuid.uuid4())
}

payload 是 JWT 的核心部分，它包含有关用户或应用程序的声明。在本例中， payload 包含 access_key 和一个随机生成的 nonce 。 nonce (Number used once) 用于防止重放攻击，确保每次请求的唯一性。其他常见的声明包括 iss (issuer)、 sub (subject)、 aud (audience)、 exp (expiration time) 和 iat (issued at time)。在加密货币应用中， payload 可能包含用户的账户 ID、权限级别或其他与安全相关的元数据。

jwt_token = jwt.encode(payload, secret_key, algorithm='HS256')
authorize_token = f'Bearer {jwt_token}'

jwt.encode() 函数使用指定的 payload 、 secret_key 和算法 (这里是 HS256 ) 生成 JWT。 HS256 是一种常用的对称加密算法，使用 secret_key 对 JWT 进行签名。 authorize_token 是最终的授权令牌，通常以 "Bearer" 开头，表示这是一个 bearer token，遵循 OAuth 2.0 协议。在 HTTP 请求头中， authorize_token 会被添加到 "Authorization" 字段中，以便服务器验证用户或应用程序的身份。

print(authorize_token)

这行代码将生成的 JWT 令牌打印到控制台。在实际应用中，您需要将此令牌发送到服务器进行身份验证。

请将 YOUR_ACCESS_KEY 和 YOUR_SECRET_KEY 替换为您实际的 API 密钥。密钥管理是加密货币安全的关键组成部分，务必采取适当的安全措施来保护您的 API 密钥，例如使用硬件安全模块 (HSM) 或密钥管理服务 (KMS)。

API 请求示例

以下是使用 Python 发送 API 请求的示例代码，用于从Upbit交易所获取账户信息。该示例演示了如何使用JWT (JSON Web Token) 进行身份验证，这是许多加密货币交易所API的常见安全机制。

import requests
import jwt
import uuid

access_key = "YOUR_ACCESS_KEY"
secret_key = "YOUR_SECRET_KEY"

上述代码段中，需要将 YOUR_ACCESS_KEY 和 YOUR_SECRET_KEY 替换为你的Upbit API密钥。Access Key用于标识你的账户，而Secret Key用于生成签名，确保请求的安全性。 请务必妥善保管Secret Key，防止泄露。

def get_accounts():
url = "https://api.upbit.com/v1/accounts"

get_accounts 函数定义了如何向Upbit API的 /v1/accounts 端点发送GET请求，以检索你的账户信息。 该URL是Upbit API提供的用于获取用户账户信息的RESTful API端点。

payload = {
    'access_key': access_key,
    'nonce': str(uuid.uuid4()),
}
jwt_token = jwt.encode(payload, secret_key, algorithm="HS256")
authorize_token = 'Bearer {}'.format(jwt_token)
headers = {"Authorization": authorize_token}

res = requests.get(url, headers=headers)
return res.()

上述代码块展示了JWT的创建和使用过程。 payload 包含了 access_key 和 nonce (一个唯一的随机数)。 nonce 用于防止重放攻击。 jwt.encode 函数使用 secret_key 和 HMAC-SHA256 算法 ( HS256 ) 对 payload 进行签名，生成JWT token。 生成的JWT token随后被添加到HTTP请求的 Authorization header中，作为Bearer token进行身份验证。 requests.get 函数发送GET请求，并使用 res.() 将响应解析为JSON格式。

accounts = get_accounts()
print(accounts)

这段代码调用 get_accounts 函数，将返回的账户信息存储在 accounts 变量中，并通过 print 函数将其打印到控制台。返回的JSON数据通常包含账户余额、币种类型等信息。 请注意，你需要安装 requests 和 PyJWT 库才能运行此代码： pip install requests PyJWT 。

请务必将 YOUR_ACCESS_KEY 和 YOUR_SECRET_KEY 替换为您实际的 Upbit API 密钥。 请阅读Upbit API的官方文档，了解速率限制和其他使用条款，以避免被API封禁。

常用 API 接口

以下是一些常用的 Upbit API 接口，它们是您与Upbit交易所进行交互的关键工具：

• 获取账户信息: GET /v1/accounts

  这个接口允许您检索与您的Upbit账户相关的各种信息，包括账户余额、已用资金、可用资金以及其他账户级别的详细信息。验证您的身份认证状态是使用此API的前提。

• 获取市场信息: GET /v1/market/all

  通过此接口，您可以获取Upbit交易所支持的所有交易对的详细信息。这些信息包括市场代码、市场名称、以及该交易对是否支持交易等。此API是了解市场整体情况的快捷途径。

• 获取 K 线数据: GET /v1/candles/{candle_type}/{market}

  此接口允许您获取特定交易对的历史K线数据。 {candle_type} 参数允许您选择K线类型，如 minutes/1 (1分钟K线), days (日K线) 等。 {market} 参数指定您要获取数据的交易对。K线数据是技术分析的重要组成部分，可以帮助您识别价格趋势和模式。此接口支持调整时间参数以获取特定时间范围内的K线数据。

• 下单: POST /v1/orders

  使用此接口，您可以向Upbit交易所提交新的交易订单。您需要指定订单类型（市价单、限价单等）、交易对、买卖方向（买入或卖出）以及订单数量和价格。订单的成功执行取决于市场条件和账户资金情况。下单需要身份验证和资金充足。

• 查询订单: GET /v1/order

  此接口允许您查询特定订单的状态和详细信息。您可以使用订单的唯一ID来查询特定订单，或者使用其他参数来过滤订单列表，例如订单状态（待处理、已完成、已取消等）。此API是监控订单执行情况的必要工具。查询订单可能需要身份验证。

• 取消订单: DELETE /v1/order

  通过此接口，您可以取消尚未成交的挂单。您需要提供要取消的订单的唯一ID。取消订单的成功取决于订单状态和市场条件。 部分订单类型可能不支持取消。取消订单可能需要身份验证。

请务必参考 Upbit 官方 API 文档，以获取最全面和最新的 API 接口信息、参数说明、以及使用限制。正确理解和使用这些API是进行有效数字资产交易的基础。

常见问题

• API 密钥错误: 请仔细检查您的 Access Key (访问密钥) 和 Secret Key (私钥) 是否正确。密钥区分大小写，复制粘贴时注意避免空格或其他不可见字符。强烈建议重新生成密钥并仔细核对，确保与交易所后台显示的信息完全一致。
• IP 地址限制: 为了账户安全，Upbit 可能启用了 IP 地址访问限制。请确认您的客户端 IP 地址已正确添加到 Upbit API 允许访问的 IP 地址白名单列表中。如果您的 IP 地址是动态变化的，需要定期更新白名单，或者考虑使用允许所有 IP 地址访问的配置（但不推荐，安全性较低）。
• API 请求频率限制: Upbit API 为了保障服务稳定，对请求频率进行了限制。请严格控制您的 API 请求频率，避免超出 Upbit 官方文档中规定的限制。考虑使用批量请求、缓存数据等方法来减少请求次数。可以通过查看 API 返回的 HTTP 头部信息来了解剩余的请求配额和重置时间。
• 权限不足: 您的 API 密钥可能没有足够的权限执行您尝试的操作。请登录 Upbit 交易所后台，检查您的 API 密钥是否已经开启了执行相应操作的权限，例如交易、查询余额、获取行情等。部分 API 接口需要特定的权限才能访问。
• 签名错误: Upbit API 使用 JWT (JSON Web Token) 进行身份验证。请仔细检查您的 JWT 生成代码是否正确，确保使用了正确的算法、密钥，并且所有必要的参数都已包含在 JWT 中。注意时间戳的有效性，通常 JWT 的有效期有限制。
• 服务器错误: Upbit 服务器可能由于维护、升级或其他原因出现暂时性的错误。如果遇到 HTTP 状态码 500 或 503 等服务器错误，请稍后再试。建议关注 Upbit 官方公告，了解服务器维护计划。
• 缺少必要的参数: 您的 API 请求可能缺少了 Upbit API 所要求的必要参数。请仔细阅读 Upbit API 文档，确认您的请求包含了所有必须的参数，并且参数格式正确。检查参数名称是否拼写正确，以及数据类型是否符合要求。

错误处理

在使用 Upbit API 时，开发者可能会遇到各种各样的错误。理解并恰当处理这些错误对于构建稳定可靠的应用程序至关重要。以下是一些常见的错误代码及其详细解释和推荐的处理方法：

• 400 Bad Request : 此错误通常指示客户端发送的请求存在问题。可能的原因包括：缺少必需的请求参数，参数值无效（例如，超出范围或格式不正确），或请求体格式错误。 处理方法： 仔细检查您的请求参数，确保它们符合 Upbit API 文档中指定的类型、范围和格式要求。 使用合适的校验机制在发送请求之前验证参数。 详细阅读错误信息，通常错误信息会包含关于哪个参数存在问题的具体指示。
• 401 Unauthorized : 此错误表明客户端未经过身份验证或身份验证失败。这意味着您提供的 API 密钥无效、过期或被撤销，或者 JWT（JSON Web Token）生成过程中存在问题。 处理方法： 检查您的 API 密钥是否正确配置，并确保您使用的 API 密钥是有效的。 仔细检查 JWT 生成代码，确保 payload 中包含所有必需的信息，并且签名算法和密钥设置正确。 确保您的 API 密钥具有访问您尝试访问的 API 接口的权限。
• 403 Forbidden : 此错误表示客户端已通过身份验证，但无权访问请求的资源。这可能是由于您的 API 密钥没有足够的权限来执行该操作，或者您的 IP 地址被限制访问该 API 接口。 处理方法： 检查您的 API 密钥的权限设置，确保它具有访问目标 API 接口的必要权限。 联系 Upbit 支持，确认您的 IP 地址是否被列入白名单，并且没有超出允许的访问限制。 有些API接口可能需要满足特定的账户条件才能访问，例如，交易量达到一定水平。
• 429 Too Many Requests : 此错误表明客户端在给定的时间段内发送了过多的请求，超过了 Upbit API 的请求频率限制（Rate Limit）。为了保护服务器免受滥用，Upbit 会限制每个 IP 地址或 API 密钥的请求频率。 处理方法： 降低您的 API 请求频率。 实施速率限制策略，使用延迟或队列来控制请求的发送速度。 使用 Upbit API 提供的速率限制信息（通常在响应头中）来动态调整您的请求频率。 考虑使用 WebSocket API 来减少请求数量，特别是在需要实时数据的情况下。
• 500 Internal Server Error : 此错误表示 Upbit 服务器在处理您的请求时遇到了意外的错误。这通常是服务器端的问题，与您的请求无关。 处理方法： 等待一段时间后重试您的请求。 如果问题仍然存在，请联系 Upbit 支持，并提供相关的请求信息，以便他们调查问题。 检查 Upbit 的服务状态页面，确认是否存在已知的服务器问题。

在遇到 API 错误时，请务必仔细阅读 Upbit API 返回的错误信息。错误信息通常包含关于错误类型的详细描述以及可能的解决方案。建议使用 try-except 块（在 Python 中）或其他类似的异常处理机制来捕获和处理 API 请求中可能出现的异常，以便您的应用程序能够优雅地处理错误并避免崩溃。 完善的日志记录可以帮助您诊断和解决问题。

API 使用规范

为了保障 Upbit 交易平台的稳定性和提供优质的用户体验，请务必严格遵守以下 API 使用规范。不遵守规范可能导致 API 访问受限。

• 控制请求频率: 高频的 API 请求可能对服务器造成不必要的压力，甚至导致服务中断。请合理控制您的 API 请求频率，并尽量采用批量请求的方式，例如一次性请求多个交易对的数据，而非为每个交易对单独发送请求。建议实施指数退避策略，当收到 API 限流错误时，逐步增加请求间隔时间。
• 合理使用 API: 禁止使用 Upbit API 进行任何形式的恶意攻击，包括但不限于 DDoS 攻击、SQL 注入等。同时，严格禁止利用 API 进行非法活动，如洗钱、欺诈等。Upbit 将对违规行为进行严厉打击，并保留追究法律责任的权利。
• 及时处理错误: API 请求过程中可能会出现各种错误，例如参数错误、权限不足、服务器错误等。请务必在程序中加入完善的错误处理机制，及时捕获并处理这些错误。正确的错误处理不仅可以避免程序崩溃，还可以帮助您更好地理解 API 的工作原理，并提高程序的健壮性。建议记录详细的错误日志，方便问题排查。
• 遵守 Upbit 官方 API 文档: Upbit 官方 API 文档是您使用 API 的唯一权威指南。请务必仔细阅读并理解文档中的每一个细节，包括接口定义、参数说明、返回格式、错误码等。文档会不定期更新，请您及时关注最新版本。请注意，API 文档中包含一些重要限制，如不同 API 的请求频率限制，未遵守可能会导致 API 访问受限。

本文详细介绍了如何设置 Upbit API 以进行自动化交易。希望本文能够帮助您更好地使用 Upbit API，并进行成功的量化交易。