Le chiavi API sono uno dei componenti primari dell'autenticazione API; sono l'equivalente API del nome utente e della password del Suo account Kraken.
Le chiavi API sono necessarie per chiamare qualsiasi endpoint API specifico dell'account (ovvero privato), in particolare gli endpoint di gestione dell'account, trading, finanziamento e guadagno. Le chiavi API non sono necessarie per chiamare gli endpoint API dei dati di mercato (ovvero pubblici), poiché gli endpoint dei dati di mercato non sono associati a nessun account Kraken specifico.
Le chiavi API possono essere utilizzate da qualsiasi software che interagisce con i nostri mercati e account, come i nostri client a riga di comando REST API, alcune app mobili, bot di trading di terze parti e molti altri prodotti/servizi.
Apra il menu dell'account (clicchi sull'icona dell'omino nell'angolo in alto a destra della pagina)
Selezioni l'opzione Impostazioni
Vada alla scheda API, quindi clicchi su "Crea chiave API" (potrà configurare la Sua chiave API nei passaggi successivi)
Le chiavi API hanno diverse impostazioni e opzioni che devono essere configurate prima di poter utilizzare la chiave API, in particolare il nome/descrizione e i permessi di accesso.
Il nome della chiave è essenzialmente il nome della chiave API e può essere quasi qualsiasi cosa Lei preferisca, purché la descrizione sia unica (diversa dalle descrizioni di qualsiasi altra chiave API sullo stesso account).
È buona norma dare alla Sua chiave API un nome descrittivo, senza esporre informazioni sensibili (come ad esempio "Chiave di Trading", "Chiave di Gestione Account", "Chiave API Python 6" o "Chiave App Mobile", per esempio).
I permessi della chiave determinano quali endpoint API specifici dell'account (privati) la chiave API è autorizzata a chiamare:
Interroga Fondi è richiesto per gli endpoint API che interrogano le informazioni sul saldo dell'account, come Balance e TradeBalance.
Deposita Fondi è richiesto per gli endpoint di finanziamento relativi ai depositi, come DepositMethods e DepositAddresses.
Preleva Fondi è richiesto per gli endpoint di finanziamento relativi ai prelievi, come WithdrawInfo, Withdraw e WithdrawCancel.
Interroga Ordini Aperti e Scambi è richiesto per gli endpoint API che interrogano ordini e posizioni di margine già esistenti, come OpenOrders, QueryOrders e OpenPositions.
Interroga Ordini Chiusi e Scambi è richiesto per gli endpoint che interrogano ordini e posizioni di margine precedentemente chiusi/annullati, come ClosedOrders, QueryOrders e QueryTrades.
Modifica Ordini è richiesto per gli endpoint di trading che piazzano nuovi ordini, come AddOrder, EditOrder e AddOrderBatch.
Annulla/Chiudi Ordini è richiesto per gli endpoint di trading che annullano ordini aperti o in sospeso, come CancelOrder, CancelAll e CancelOrderBatch.
Interroga Voci di Registro è richiesto per gli endpoint API che recuperano dati storici dell'account dal registro contabile, ovvero Ledgers e QueryLedgers.
Esporta Dati è richiesto per gli endpoint che esportano (scaricano) il registro contabile, ovvero AddExport, RetrieveExport, ExportStatus e RemoveExport.
Come esempio di utilizzo corretto dei permessi della chiave API, si consideri una chiave API fornita a una terza parte per scopi di trading. Tale chiave API richiederebbe sicuramente i permessi Modifica Ordini e Annulla/Chiudi Ordini, probabilmente richiederebbe il permesso Interroga Ordini Aperti e Scambi, ma quasi certamente non richiederebbe il permesso Preleva Fondi.
La configurazione appropriata dei permessi consentirebbe al client API di effettuare scambi per l'account, ma impedirebbe al client API di accedere a qualsiasi informazione sull'account o di eseguire operazioni di finanziamento.
Le restanti impostazioni della chiave API sono richieste solo per configurazioni più avanzate, pertanto possono solitamente essere mantenute ai loro valori predefiniti:
L'interfaccia WebSocket è richiesta per recuperare un token di autenticazione per le API WebSocket tramite l'endpoint GetWebSocketsToken.
La Restrizione Indirizzo IP è una funzionalità di sicurezza che limita l'uso della chiave API a specifici indirizzi IP lato client.
La Scadenza Chiave può essere utilizzata per creare una chiave API che funziona solo per un periodo di tempo specifico, come una chiave valida solo per 1 settimana.
L'Intervallo di Data/Ora Inizio/Fine Query è un'impostazione che limita le richieste di dati storici dell'account a un intervallo di tempo specifico, come una chiave che potrebbe recuperare la cronologia di trading di quest'anno, ma non di anni precedenti.
La Finestra Nonce Personalizzata è un'impostazione utilizzata per superare problemi di rete che potrebbero causare l'arrivo di richieste API fuori ordine, fornendo un breve intervallo di tempo (1 secondo, 10 secondi, ecc.) durante il quale le richieste API con un nonce non valido (un valore nonce inferiore a un valore nonce precedentemente utilizzato) non causeranno un errore di nonce non valido.
Una volta configurate correttamente le impostazioni della chiave API, la nuova chiave API può essere creata cliccando sul pulsante Genera chiave.
La chiave API, la chiave privata e il codice QR devono essere trattati allo stesso modo del Suo nome utente/password. Li salvi in un gestore di password se ha bisogno di accedervi di nuovo in seguito. Non li salvi in un formato non crittografato!
Le chiavi API consistono in una coppia di chiavi pubblica e privata, entrambe le quali devono essere fornite al software client API.
Le chiavi API possono essere fornite in diversi modi, ad esempio:
La coppia di chiavi può essere copiata e incollata come testo semplice direttamente nel codice del client API. Esempio: Il metodo utilizzato dal nostro PHP API client.
La coppia di chiavi può essere copiata e incollata in file di testo semplice a cui il client API può accedere. Esempio: Il metodo utilizzato dal nostro client API da riga di comando.
Nota: La chiave privata è anche conosciuta come API secret (o semplicemente come secret) da alcuni software client API.
Le API key forniscono già un modo sicuro per autenticare l'accesso API a un account Kraken, ma la loro sicurezza può essere ulteriormente migliorata aggiungendo l'autenticazione a due fattori (2FA).
La 2FA per le API key può essere aggiunta a una API key esistente tramite la pagina Sicurezza e può utilizzare una password statica o Google Authenticator.
Nota: L'aggiunta della 2FA a una API key richiede anche che il client API supporti la 2FA (fornisca i dati 2FA per ogni chiamata ai metodi API privati), altrimenti verrebbe restituito un errore imprevisto invece dell'output API desiderato.
Per saperne di più su come funziona la 2FA per le API key qui.