Les clés API sont l'un des principaux composants de l'authentification API ; elles sont l'équivalent API du nom d'utilisateur et du mot de passe de votre compte Kraken.
Les clés API sont nécessaires pour appeler n'importe quel point de terminaison API spécifique au compte (c'est-à-dire privé), à savoir la gestion de compte, le trading, le financement et les points de terminaison de gain. Les clés API ne sont pas nécessaires pour appeler les points de terminaison API de données de marché (c'est-à-dire publics), car les points de terminaison de données de marché ne sont associés à aucun compte Kraken spécifique.
Les clés API peuvent être utilisées par tout logiciel qui interagit avec nos marchés et comptes, tels que nos clients en ligne de commande REST API, certaines applications mobiles, les robots de trading tiers et de nombreux autres produits/services.
Ouvrez le menu du compte (cliquez sur l'icône humaine dans le coin supérieur droit de la page)
Sélectionnez l'option Paramètres
Allez à l'onglet API, puis cliquez sur "Créer une clé API" (vous pourrez configurer votre clé API aux étapes suivantes)
Les clés API ont plusieurs paramètres et options qui doivent être configurés avant que la clé API puisse être utilisée, notamment le nom/la description et les autorisations d'accès.
Le nom de la clé est essentiellement le nom de la clé API, et peut être presque tout ce que vous préférez, tant que la description est unique (différente des descriptions de toute autre clé API sur le même compte).
Il est recommandé de donner à votre clé API un nom descriptif, sans exposer d'informations sensibles. (comme "Clé de trading", "Clé de gestion de compte", "Clé API Python 6", ou "Clé d'application mobile", par exemple).
Les autorisations de la clé déterminent quels points de terminaison API spécifiques au compte (privés) la clé API est autorisée à appeler :
Interroger les fonds est requis pour les points de terminaison API qui interrogent les informations de solde du compte, tels que Balance et TradeBalance.
Déposer des fonds est requis pour les points de terminaison de financement liés aux dépôts, tels que DepositMethods et DepositAddresses.
Retirer des fonds est requis pour les points de terminaison de financement liés aux retraits, tels que WithdrawInfo, Withdraw et WithdrawCancel.
Interroger les ordres ouverts et les transactions est requis pour les points de terminaison API qui interrogent les ordres et les positions sur marge déjà existants, tels que OpenOrders, QueryOrders et OpenPositions.
Interroger les ordres et transactions clôturés est requis pour les points de terminaison qui interrogent les ordres et positions sur marge précédemment clôturés/annulés, tels que ClosedOrders, QueryOrders et QueryTrades.
Modifier les ordres est requis pour les points de terminaison de trading qui placent de nouveaux ordres, tels que AddOrder, EditOrder et AddOrderBatch.
Annuler/Clôturer les ordres est requis pour les points de terminaison de trading qui annulent les ordres ouverts ou en attente, tels que CancelOrder, CancelAll et CancelOrderBatch.
Interroger les entrées du grand livre est requis pour les points de terminaison de l'API qui récupèrent les données historiques du compte à partir du grand livre du compte, à savoir Ledgers et QueryLedgers.
Exporter les données est requis pour les points de terminaison qui exportent (téléchargent) le grand livre du compte, à savoir AddExport, RetrieveExport, ExportStatus et RemoveExport.
À titre d'exemple d'utilisation correcte des autorisations de clé API, considérez une clé API fournie à un tiers à des fins de trading. Une telle clé API nécessiterait certainement les autorisations Modifier les ordres et Annuler/Clôturer les ordres, nécessiterait probablement l'autorisation Interroger les ordres et transactions ouverts, mais ne nécessiterait presque certainement pas l'autorisation Retirer des fonds.
La configuration appropriée des autorisations permettrait au client API d'effectuer des transactions pour le compte, mais l'empêcherait d'accéder à toute information de compte ou d'effectuer des tâches de financement.
Les paramètres restants de la clé API ne sont requis que pour les configurations plus avancées, ils peuvent donc généralement être conservés à leurs valeurs par défaut :
L'interface WebSocket est requise pour récupérer un jeton d'authentification pour les API WebSocket via le point de terminaison GetWebSocketsToken.
La restriction d'adresse IP est une fonctionnalité de sécurité qui limite l'utilisation de la clé API à des adresses IP spécifiques côté client.
L'expiration de la clé peut être utilisée pour créer une clé API qui ne fonctionne que pendant une période spécifique, comme une clé valide seulement 1 semaine.
Le début/fin de la période d'interrogation est un paramètre qui restreint les requêtes de données historiques du compte à une période spécifique, comme une clé qui pourrait récupérer l'historique de trading de cette année, mais pas des années précédentes.
La fenêtre de nonce personnalisée est un paramètre utilisé pour surmonter les problèmes de réseau qui pourraient entraîner l'arrivée des requêtes API dans le désordre, en fournissant une courte période (1 seconde, 10 secondes, etc.) pendant laquelle les requêtes API avec un nonce invalide (une valeur de nonce inférieure à une valeur de nonce précédemment utilisée) ne provoqueront pas d'erreur de nonce invalide.
Une fois les paramètres de la clé API configurés de manière appropriée, la nouvelle clé API peut être créée en cliquant sur le bouton Générer la clé.
La clé API, la clé privée et le code QR doivent être traités de la même manière que votre nom d'utilisateur/mot de passe. Veuillez les enregistrer dans un gestionnaire de mots de passe si vous devez y accéder ultérieurement. Ne les enregistrez pas dans un format non chiffré !
Les clés API se composent d'une paire de clés publique et privée, toutes deux devant être fournies au logiciel client API.
Les clés API peuvent être fournies de différentes manières, par exemple :
La paire de clés peut être copiée et collée en texte brut directement dans le code client de l'API. Exemple : La méthode utilisée par notre client API PHP.
La paire de clés peut être copiée et collée dans des fichiers texte brut auxquels le client API peut accéder. Exemple : La méthode utilisée par notre client API en ligne de commande.
Remarque : La clé privée est également connue sous le nom de secret API (ou simplement secret) par certains logiciels clients API.
Les clés API offrent déjà un moyen sécurisé d'authentifier l'accès API à un compte Kraken, mais leur sécurité peut être renforcée davantage en ajoutant l'authentification à deux facteurs (2FA).
La 2FA pour les clés API peut être ajoutée à une clé API existante via la page Sécurité et peut utiliser soit un mot de passe statique, soit Google Authenticator.
Remarque : L'ajout de la 2FA à une clé API exige également que le client API prenne en charge la 2FA (fournit les données 2FA pour chaque appel aux méthodes API privées), sinon une erreur inattendue serait renvoyée au lieu de la sortie API souhaitée.
En savoir plus sur le fonctionnement de la 2FA pour les clés API ici.