Bybit交易所API使用教程：密钥生成、认证与接口示例

Bybit 交易所 API 使用方法教程

概述

Bybit 交易所提供了一套功能全面的应用程序编程接口（API），旨在赋能开发者通过编程方式高效地与平台进行交互。通过 Bybit API，用户可以自动化地管理其交易账户，执行复杂的交易策略，实时获取市场深度数据和历史交易信息，以及监控账户状态。 本教程将提供一份详尽的指南，帮助您快速上手 Bybit API 的使用，内容涵盖 API 密钥的创建和管理、身份认证流程、以及常用 API 接口的使用示例，并附带详细的代码示例和最佳实践建议，确保您能够充分利用 Bybit API 提供的强大功能。

1. 获取 Bybit API 密钥

为了充分利用 Bybit 交易所的 API 功能，你需要生成一对 API 密钥：API 密钥（Key）和密钥密码（Secret）。这些密钥允许你通过编程方式访问你的 Bybit 账户，并执行各种操作，例如下单、查询账户余额、获取市场数据等。以下是获取 API 密钥的详细步骤：

1. 登录 Bybit 账户： 使用你的用户名和密码登录你的 Bybit 交易所账户。确保你启用了双重验证（2FA），以提高账户的安全性。
2. 进入账户设置： 登录后，导航到“账户与安全”、“API 管理”或类似的选项。具体的名称可能因 Bybit 平台的更新而略有不同，但通常可以在账户设置或个人资料设置中找到。
3. 创建新的 API 密钥： 在 API 管理页面，点击“创建新密钥”、“生成 API 密钥”或类似的按钮。这将启动 API 密钥的创建流程。
4. 配置 API 密钥权限： 这是最关键的一步。Bybit 允许你为每个 API 密钥配置特定的权限，以限制其可以执行的操作。根据你的需求，选择以下权限：
   • 交易（Trade）： 允许 API 密钥执行交易操作，例如下单、取消订单等。如果你计划使用 API 密钥进行自动交易或量化交易，则需要启用此权限。
   • 读取账户信息（Account Read）： 允许 API 密钥读取账户信息，例如余额、持仓、订单历史等。即使你不需要执行交易操作，也可能需要此权限来监控你的账户状态。
   • 提币（Withdrawal）： 允许 API 密钥执行提币操作。 强烈建议不要授予此权限，除非你完全信任使用该 API 密钥的应用程序或脚本。 启用此权限会大大增加账户被盗的风险。
   • 合约（Derivatives）： 允许API密钥操作合约交易，包括永续合约和交割合约。根据你的交易需求选择。
   • 现货 (Spot): 允许API密钥进行现货交易。

   为了安全起见， 强烈建议仅授予 API 密钥所需的最低权限。 例如，如果你只需要读取账户信息，则不要启用交易权限。 这有助于最大程度地降低 API 密钥被盗用造成的损失。

5. 设置 IP 限制（可选）： 为了进一步提高 API 密钥的安全性，你可以设置 IP 限制。这将限制 API 密钥只能从特定的 IP 地址访问 Bybit API。如果你的 API 密钥只会在特定的服务器或计算机上使用，则建议设置 IP 限制。
6. 完成双重验证（如果启用）： 如果你启用了双重验证（2FA），则需要输入 2FA 代码才能完成 API 密钥的创建。
7. 保存 API 密钥和密钥密码（Secret）： 创建 API 密钥后，Bybit 会显示 API 密钥（Key）和密钥密码（Secret）。 请务必妥善保管这两个值，不要泄露给任何人。 密钥密码（Secret）是用于对 API 请求进行签名的，如果泄露，任何人都可以使用你的 API 密钥来访问你的 Bybit 账户。将它们保存在安全的地方，例如密码管理器。Bybit 通常只显示一次密钥密码，如果丢失，你可能需要重新生成 API 密钥。

2. API 认证

所有 Bybit API 请求都需要进行认证，以确保用户数据的安全性和账户操作的合法性。Bybit 提供了两种主要的认证方式，开发者需要根据所使用的 API 类型选择合适的认证方法。

• API 密钥认证: 这种认证方式适用于大多数 RESTful API 接口，例如交易、获取市场数据、账户信息查询等。使用 API 密钥认证，你需要：
  • 获取 API 密钥和密钥密码： 登录 Bybit 账户，在 API 管理页面创建或管理你的 API 密钥。每个 API 密钥都对应一个密钥密码，务必妥善保管。
  • 在请求头中包含认证信息： 在发送 API 请求时，你需要将 API 密钥（ api_key ）和密钥密码（ signature ）添加到请求头中。 signature 的生成需要使用密钥密码对请求参数进行加密签名，以验证请求的完整性和真实性。具体的签名算法和参数构造方式请参考 Bybit 官方 API 文档。
  • 注意权限设置： 在创建 API 密钥时，可以设置不同的权限，例如只读、交易等。请根据你的应用场景选择合适的权限，避免不必要的安全风险。
• WebSocket 认证: WebSocket 接口通常用于实时数据推送，例如实时行情、订单簿更新等。WebSocket 认证方式与 API 密钥认证不同，它需要：
  • 发送认证消息： 在建立 WebSocket 连接后，你需要立即发送一条特定的认证消息到服务器。该消息通常包含 API 密钥、过期时间戳以及使用密钥密码生成的签名。
  • 保持连接活跃： WebSocket 连接需要保持活跃，服务器会定期发送心跳包检测连接状态。如果连接断开，你需要重新进行认证。
  • 参考官方文档： WebSocket 认证的详细流程和消息格式请参考 Bybit 官方 API 文档，不同的 API 版本可能会有所不同。

2.1 API 密钥认证

为了保障API接口的安全性，所有请求都需要进行身份认证。认证过程主要依赖API密钥，时间戳和请求签名。在发送API请求时，请务必将以下认证信息添加到HTTP请求头中：

• X-BAPI-API-KEY : 您的API密钥，用于标识您的账户。此密钥由平台分配，请妥善保管，避免泄露。
• X-BAPI-TIMESTAMP : 当前时间的Unix时间戳（秒）。时间戳用于防止重放攻击，确保请求的时效性。客户端生成请求时，需获取当前时间的Unix时间戳，并将其包含在请求头中。
• X-BAPI-SIGN : 请求签名的HMAC-SHA256哈希值。签名用于验证请求的完整性和真实性，防止请求被篡改。签名生成过程涉及对请求参数、API密钥和时间戳进行加密计算。

请求签名的生成方式如下：

• GET 请求: 签名字符串是请求参数的 URL 编码字符串。例如，如果你的请求 URL 是 /v5/market/tickers?category=linear&symbol=BTCUSDT，那么签名字符串就是 category=linear&symbol=BTCUSDT。
• POST 请求: 签名字符串是请求体的 JSON 字符串。例如，如果你的请求体是 {"symbol":"BTCUSDT","side":"Buy","type":"Market","qty":"0.001"}，那么签名字符串就是 {"symbol":"BTCUSDT","side":"Buy","type":"Market","qty":"0.001"}。

Python 示例:

此示例展示了如何使用 Python 与加密货币交易所的 API 进行交互，包括生成签名、发起 GET 和 POST 请求等关键步骤。请注意，代码片段中的 YOUR_API_KEY 和 YOUR_API_SECRET 必须替换为您从交易所获得的真实 API 密钥和密钥。

我们需要导入必要的 Python 库：

hashlib 用于计算哈希值， hmac 用于生成基于密钥的哈希消息认证码（HMAC）， time 用于获取当前时间戳， requests 用于发送 HTTP 请求，以及 用于处理 JSON 格式的数据。

import hashlib
import hmac
import time
import requests
import 

定义 API 密钥、密钥以及 API 的基本 URL。 base_url 必须与您所使用的交易所 API 的实际地址相匹配，不同交易所可能提供不同的环境（例如，测试网和主网）。

api_key = "YOUR_API_KEY"
api_secret = "YOUR_API_SECRET"
base_url = "https://api.bybit.com"  # 实际 endpoint 地址，Bybit可能提供不同的环境（测试网/主网）

生成签名的函数是安全地与交易所 API 通信的关键。签名用于验证请求的真实性和完整性，防止恶意篡改。以下函数使用 HMAC-SHA256 算法生成签名：

def generate_signature(api_secret, query_string):
    """生成签名."""
    return hmac.new(
          api_secret.encode("utf-8"),
         query_string.encode("utf-8"),
           hashlib.sha256).hexdigest()

generate_signature 函数接受您的 API 密钥和请求的查询字符串作为输入。它使用 hmac.new 函数，以您的 API 密钥作为密钥，使用 SHA256 算法对查询字符串进行哈希处理，并返回十六进制格式的签名。

get_data 函数用于发起 GET 请求。该函数计算签名并将其包含在请求头中。 timestamp 是当前 Unix 时间戳，必须包含在请求中以防止重放攻击。

def get_data(endpoint, params=None):
      """发起 GET 请求的通用函数."""
      timestamp  = str(int(time.time()))
      url = base_url + endpoint
     if params:
            query_string = '&'.join([f"{k}={v}" for k,  v in params.items()])
    else:
         query_string  = ""

    signature =  generate_signature(api_secret,  timestamp + query_string)

    headers = {
       "X-BAPI-API-KEY": api_key,
       "X-BAPI-TIMESTAMP": timestamp,
       "X-BAPI-SIGN":  signature
    }

    response =  requests.get(url,  headers=headers, params=params)
    response.raise_for_status()  # 为错误的响应引发 HTTPError (4XX 或 5XX)
    return response.()

post_data 函数用于发起 POST 请求。类似于 get_data ，该函数也计算签名并将其包含在请求头中。在 POST 请求中，数据通常以 JSON 格式发送，并且 Content-Type 头部需要设置为 application/ 。

def post_data(endpoint, data=None):
     """发起 POST 请求的通用函数."""
    timestamp = str(int(time.time()))
    url = base_url  + endpoint

    if data:
        query_string = .dumps(data)
    else:
        query_string = ""

    signature = generate_signature(api_secret, timestamp + query_string)

    headers = {
        "X-BAPI-API-KEY": api_key,
        "X-BAPI-TIMESTAMP": timestamp,
        "X-BAPI-SIGN": signature,
        "Content-Type": "application/"
    }

    response = requests.post(url, headers=headers, data=.dumps(data))  # 必须将数据转换为字符串
    response.raise_for_status()
    return response.()

示例用法 (GET)

尝试通过GET请求获取市场行情数据，以下代码展示了如何使用 get_data 函数从Bybit API获取BTCUSDT永续合约的交易对行情数据：

try:
    # 定义请求参数，指定交易对和合约类型
    params = {"category": "linear", "symbol": "BTCUSDT"}

    # 调用get_data函数，访问/v5/market/tickers接口，并传入参数
    tickers = get_data("/v5/market/tickers", params)

    # 打印获取到的行情数据
    print("Tickers:", tickers)

except requests.exceptions.RequestException as e:
    # 捕获requests库抛出的异常，例如网络连接错误或请求超时
    print("Error:", e)

代码解释:

• category 参数指定了合约类型为线性合约。
• symbol 参数指定了交易对为BTCUSDT。
• /v5/market/tickers 是Bybit API的行情数据接口。
• requests.exceptions.RequestException 可以捕获由于网络问题或请求错误导致的异常。
• 如果请求成功， tickers 变量将包含从API返回的JSON格式的市场行情数据。

请确保你已经安装了 requests 库，可以使用 pip install requests 命令进行安装。同时，请查阅Bybit API的官方文档，了解更多关于 /v5/market/tickers 接口的详细信息，包括返回数据的结构和可用参数。

Example usage (POST - example requires specific permissions on the API key)

Remember to replace the placeholders with your actual values.

This example assumes you have futures trading enabled and sufficient balance.

It also assumes the symbol and category are correct and active on Bybit.

try:

order_data = {

"symbol": "BTCUSDT",

"side": "Buy",

"type": "Market",

"qty": "0.001",

"category":"linear" #Added Category Parameter

}

order = postdata("/v5/order/create", orderdata)

print("Order:", order)

except requests.exceptions.RequestException as e:

print("Error:", e)

重要提示:

• 务必将代码中的 YOUR_API_KEY 和 YOUR_API_SECRET 占位符替换为你从交易所或服务提供商处获得的真实 API 密钥和密钥密码。API 密钥用于身份验证，密钥密码用于对交易和敏感操作进行签名，它们是访问和控制你的加密货币账户的关键凭证。请妥善保管这些凭证，切勿泄露给他人。
• 为了确保与交易所 API 的正常通信，你的系统时间必须与协调世界时 (UTC) 保持精确同步。时间偏差可能导致签名验证失败，从而拒绝你的 API 请求。你可以使用网络时间协议 (NTP) 服务来自动同步你的系统时间。常见的 NTP 服务器包括 pool.ntp.org 。检查并定期同步系统时间是避免 API 错误的常见做法。
• 强烈建议在生产环境中采用更安全、更健壮的密钥管理方案来存储和管理 API 密钥和密钥密码。直接在代码中硬编码密钥是非常危险的做法，容易导致密钥泄露。建议使用以下替代方案：
  • 环境变量： 将 API 密钥和密钥密码存储在环境变量中，并通过操作系统或容器化环境进行配置。
  • 密钥管理服务 (KMS)： 使用专门的密钥管理服务，例如 AWS KMS、Google Cloud KMS 或 Azure Key Vault，对密钥进行加密存储和安全访问控制。
  • 配置文件： 将密钥存储在加密的配置文件中，并使用安全的权限控制来限制对配置文件的访问。
  选择合适的密钥管理方案取决于你的安全要求和基础设施架构。

2.2 WebSocket 认证

WebSocket 认证流程相较于传统的REST API认证更为复杂，但提供了更高效和实时的双向数据传输。建议开发者优先参考Bybit官方文档，文档中通常包含最新的认证方式和最佳实践。典型的WebSocket认证过程如下：

1. 建立WebSocket连接： 客户端需要建立与Bybit WebSocket服务器的安全连接。连接URL根据不同的环境（如测试网或主网）和所订阅的数据类型（如交易数据、行情数据）而有所不同。
2. 生成认证消息： 建立连接后，客户端需要构造一个包含认证信息的JSON消息。这个消息通常包含以下关键字段：
   • api_key ：用户的API密钥，用于标识用户的身份。
   • timestamp ：一个Unix时间戳，表示消息的创建时间。时间戳必须在服务器允许的有效时间范围内，以防止重放攻击。
   • sign ：一个数字签名，通过对包含API密钥、时间戳和其他相关信息的字符串进行哈希运算生成。签名用于验证消息的完整性和真实性，确保消息未被篡改。常用的哈希算法是HMAC-SHA256，其中API密钥的密钥用于生成签名。
3. 发送认证消息： 将构造好的JSON认证消息通过WebSocket连接发送到服务器。
4. 验证认证结果： 服务器收到认证消息后，会验证API密钥、时间戳和签名。如果验证成功，服务器会返回一个认证成功的消息，表示用户已成功认证。如果验证失败，服务器会返回一个错误消息，并断开连接。
5. 订阅数据流： 认证成功后，客户端可以开始订阅所需的数据流，例如交易数据、行情数据、深度数据等。

重要提示：

• 务必妥善保管您的API密钥，不要将其泄露给任何第三方。
• 仔细阅读Bybit官方文档，了解最新的认证方式和要求。
• 在生产环境中使用WebSocket认证之前，请务必在测试网环境中进行充分的测试。
• 请注意时间戳的有效性，确保时间戳在服务器允许的范围内。
• 如果认证失败，请仔细检查API密钥、时间戳和签名是否正确。

3. 常用 API 接口示例

Bybit 提供了丰富的 API 接口，覆盖了市场数据检索、交易执行、账户管理以及更高级的功能。 这些接口允许开发者构建自定义交易策略、自动化交易流程，并集成 Bybit 的功能到第三方应用程序中。 以下是一些常用 API 接口的示例，展示了如何使用 API 与 Bybit 平台进行交互：

• 获取市场行情数据: /v5/market/tickers 接口用于获取指定交易对的实时行情数据，包括最新成交价、最高价、最低价、成交量和成交额等。 通过指定不同的交易对参数，可以获取不同市场的行情信息。 例如，可以查询 BTC/USDT、ETH/USDT 等交易对的最新数据。返回的数据通常包含时间戳，可以用于分析市场趋势。
• 下单: /v5/order/create 接口允许用户创建新的订单。 创建订单时，需要指定交易对、订单类型（市价单、限价单等）、买卖方向（买入或卖出）、数量和价格（对于限价单）。 订单创建成功后，Bybit 系统会将订单提交到交易引擎进行撮合。 除了基本参数外，还可以设置止盈止损价格、时间有效性策略等高级参数，以更好地控制交易风险。
• 取消订单: /v5/order/cancel 接口用于取消尚未成交的订单。 用户需要提供订单 ID 或其他唯一标识符来指定要取消的订单。 成功取消订单后，冻结的资金将被释放回账户。 该接口对于快速调整交易策略和避免不必要的损失至关重要。 可以通过 /v5/order/list 接口先查询待取消的订单，再使用该接口进行取消。
• 查询订单: /v5/order/list 接口可以查询用户的订单列表，包括未成交订单、已成交订单和已取消订单。 可以通过指定不同的参数，如订单状态、交易对和时间范围，来过滤订单列表。 返回的订单信息包括订单 ID、订单类型、交易价格、交易数量、订单状态和创建时间等。 该接口是监控交易活动和分析交易历史的重要工具。
• 获取账户信息: /v5/account/wallet-balance 接口用于获取用户的账户余额信息，包括可用余额、冻结余额和总余额。 通过指定不同的币种参数，可以获取不同币种的余额信息。 返回的信息通常还包括账户的风险等级、保证金率等重要指标，帮助用户评估账户的安全性和风险状况。 除了余额信息，还可以通过其他 API 接口获取账户的交易历史、资金流水等详细信息。

每个接口的详细参数和返回值请参考 Bybit 官方 API 文档。

4. 错误处理

当通过 API 与 Bybit 交易所交互时，难免会遇到请求失败的情况。Bybit API 会以 JSON 格式返回详细的错误信息，其中包含了关键的错误代码和描述性错误信息。开发者需要仔细解析这些信息，以便准确地诊断问题并采取适当的纠正措施。理解不同类型的错误以及它们的常见原因对于构建健壮的交易应用程序至关重要。

• 认证失败 (Authentication Failure): 这是最常见的错误之一，通常表示 API 密钥、密钥密码或签名存在问题。你需要仔细检查以下几点：
  • API 密钥 (API Key): 确保你使用的是正确的 API 密钥，并且没有空格或其他多余的字符。
  • 密钥密码 (Secret Key): 验证你提供的密钥密码与 API 密钥相匹配，大小写也必须完全一致。
  • 签名 (Signature): 签名是根据请求参数和密钥密码生成的，用于验证请求的完整性和真实性。确保你的签名算法正确无误，并且包含了所有必需的参数。仔细检查时间戳是否有效，过期的时间戳会导致签名验证失败。
• 权限不足 (Insufficient Permissions): Bybit 允许你为 API 密钥分配特定的权限。如果你尝试执行一个需要更高权限的操作，比如下单或提取资金，而你的 API 密钥没有相应的权限，就会收到此错误。
  • 检查权限设置: 登录到你的 Bybit 账户，查看 API 密钥的权限设置，确保它拥有执行所需操作的权限。
  • 合约账户与现货账户: 某些权限可能仅适用于合约账户或现货账户，确保你使用的 API 密钥拥有正确的账户类型权限。
• 参数错误 (Parameter Error): 当你发送的请求参数不符合 Bybit API 的要求时，就会发生此错误。
  • 数据类型: 确保你传递的参数的数据类型正确，例如，数字参数不应该是字符串。
  • 必填参数: 检查你是否提供了所有必需的参数。
  • 参数范围: 验证参数的值是否在允许的范围内。
  • 格式要求: 某些参数可能需要特定的格式，例如，日期时间格式。
  • API 文档: 仔细阅读 Bybit API 文档，了解每个 API 端点的参数要求。
• 系统错误 (System Error): 这通常表示 Bybit 服务器内部出现了问题。
  • 稍后重试: 这种情况下，最好的做法是稍后重试你的请求。
  • 检查 Bybit 系统状态: 访问 Bybit 的官方网站或社交媒体，查看是否有关于系统维护或故障的公告。
  • 使用指数退避策略: 如果你需要自动重试请求，建议使用指数退避策略，以避免对服务器造成过大的压力。

5. 其他注意事项

• 频率限制: Bybit 对 API 请求实施了严格的频率限制，旨在确保平台稳定性和防止滥用。如果你的应用程序超过允许的请求速率，可能会收到错误响应并暂时被限制访问。务必仔细查阅 Bybit 官方 API 文档，了解不同 API 端点的具体频率限制，并实施适当的节流机制，例如使用队列或延迟策略，以避免超出限制。 监控 API 响应中的 `X-RateLimit-Limit`、`X-RateLimit-Remaining` 和 `X-RateLimit-Reset` 标头，以便实时跟踪你的 API 使用情况。
• 测试网: Bybit 提供了一个功能完善的测试网环境，允许开发者在模拟的交易环境中测试其 API 集成，而无需承担任何真实资金风险。测试网 API 使用与主网 API 几乎相同，但使用独立的 API 密钥和端点。 使用测试网可以帮助你验证交易策略、调试代码并熟悉 Bybit API 的工作方式，然后才能将你的应用程序部署到实际生产环境中。 强烈建议在将任何代码部署到生产环境之前，在测试网上进行彻底的测试。
• 安全: API 密钥是访问你的 Bybit 账户的凭证，因此必须妥善保管。 切勿将你的 API 密钥泄露给任何人，也不要在公共代码库（如 GitHub）或客户端代码中存储 API 密钥。 强烈建议启用双因素身份验证 (2FA) 以增加账户安全性。 始终使用 HTTPS 协议 (TLS) 发送所有 API 请求，以加密客户端和 Bybit 服务器之间传输的数据，从而防止中间人攻击。 定期轮换 API 密钥也是一个最佳实践，以降低密钥泄露的风险。 考虑使用 IP 白名单功能，将你的 API 访问限制到特定的 IP 地址范围，进一步增强安全性。

本教程旨在为初学者提供 Bybit API 使用的全面入门指南。 我们相信，通过遵循本指南中概述的步骤和最佳实践，你将能够快速开始构建自己的自动化交易策略和应用程序。 祝你在 Bybit 平台上交易顺利，并取得成功！