解密Coinbase API签名：像专家一样安全访问！

Coinbase API 加密方式

Coinbase API 的安全访问依赖于严格的消息签名机制，确保请求的完整性和身份验证。理解并正确实现这种签名方式对于任何希望与 Coinbase API 交互的应用程序至关重要。本文将详细探讨 Coinbase API 使用的加密方法，并提供实践指导。

认证方式概述

Coinbase API 使用基于 HMAC-SHA256 的签名算法进行身份验证，以确保请求的安全性与完整性。所有向 Coinbase API 发出的请求都必须包含特定的 HTTP 头部信息，用于验证身份和授权访问权限。

• CB-ACCESS-KEY : 您的 API 密钥，用于标识您的 Coinbase 账户。此密钥应被视为敏感信息，务必妥善保管。
• CB-ACCESS-SIGN : 请求的数字签名，通过 HMAC-SHA256 算法对请求的关键部分进行加密哈希处理后生成。签名用于验证请求的来源以及数据在传输过程中是否被篡改。
• CB-ACCESS-TIMESTAMP : 请求发送的时间戳，以 Unix 时间格式表示（自 Unix 纪元以来的秒数）。时间戳用于防止重放攻击，确保请求的时效性。服务器会检查时间戳的有效性，防止过时的请求被执行。
• CB-ACCESS-PASSPHRASE : 您的 API 密钥口令（可选，但强烈建议使用）。设置口令可以增加 API 密钥的安全性，即使密钥泄露，没有口令也无法使用。强烈建议为您的 API 密钥设置一个复杂且唯一的口令。

CB-ACCESS-SIGN 头部包含请求的关键组件的签名，它是通过使用您的 API 密钥作为密钥，对包括时间戳、请求方法（例如 GET、POST、PUT、DELETE）、请求路径（API 端点）以及请求体（如果存在）等信息进行 HMAC-SHA256 哈希运算而得到的。Coinbase 服务器利用该签名来验证请求的真实性和完整性。通过比对客户端发送的签名与服务器端重新计算的签名，Coinbase 能够确认请求是否来自授权用户，并确保数据在传输过程中未被篡改，从而保证 API 的安全性。

签名计算过程

生成安全可靠的API签名至关重要，它可以验证请求的来源和完整性，防止恶意篡改。该过程通常涉及以下几个关键步骤，确保通信的安全性：

1. 构建签名字符串: 签名字符串是所有后续加密计算的基础，其构建规则必须严格遵守，以保证服务端能够正确验证签名。
   • 时间戳 ( CB-ACCESS-TIMESTAMP ): 获取当前Unix时间戳，并将其转换为字符串格式。这个时间戳用于防止重放攻击，服务端通常会校验时间戳的有效性，拒绝过期请求。
   • HTTP 方法: 将请求使用的HTTP方法（例如 GET , POST , PUT , DELETE , PATCH 等）转换为全大写字符串。HTTP方法必须与实际请求的方法完全一致。
   • 请求路径: 获取请求的URL路径部分 (例如 /v2/accounts , /v3/orders )，并确保包含所有必要的路径参数。查询参数（位于'?'之后）通常不包含在签名字符串中，但应单独处理并正确编码到URL中。
   • 请求体 (Body): 如果请求包含请求体（常见于 POST , PUT , PATCH 等方法），首先将请求体的内容格式化为严格符合JSON规范的字符串。如果请求体是其他格式（如XML），则需要根据相应的规范进行序列化。如果请求没有请求体，则使用空字符串。
     • JSON 序列化注意： 确保JSON序列化过程的确定性，例如，键的排序应保持一致，避免由于键的顺序不同导致签名不一致。
     • Content-Type 重要性： Content-Type 头部应明确声明请求体的格式，例如 application/ 。
   • 连接字符串: 将上述所有字符串按照严格的顺序连接在一起，形成最终的签名字符串。连接顺序至关重要，必须严格遵循： TIMESTAMP + METHOD + PATH + BODY 。任何顺序的偏差都会导致签名验证失败。
2. 计算 HMAC-SHA256 签名: 使用您的API密钥（通常称为 CB-ACCESS-KEY ）作为密钥，对签名字符串应用 HMAC-SHA256 算法。 HMAC（Hash-based Message Authentication Code）是一种消息认证码，它使用密码散列函数和一个密钥来验证消息的完整性和真实性。
   • 密钥的保密性： API密钥必须妥善保管，切勿泄露给任何未授权方。密钥泄露将导致严重的安全风险。
   • HMAC-SHA256 算法： HMAC-SHA256 是一种广泛使用的安全散列算法，许多编程语言都提供了现成的库或函数，可以方便地完成此步骤。
3. 将签名转换为十六进制字符串: HMAC-SHA256 算法的输出通常是一个字节数组。为了方便在HTTP头部中使用，需要将其转换为十六进制字符串表示形式。每个字节会被转换为两个十六进制字符。
   • 大小写敏感： 生成的十六进制字符串通常区分大小写，需要根据API提供商的要求选择合适的大小写格式。通常使用小写格式。
   • CB-ACCESS-SIGN 头部： 这个十六进制字符串就是最终的签名，需要将其添加到 CB-ACCESS-SIGN HTTP 头部中，以便服务端进行验证。

代码示例 (Python)

以下是一个使用 Python 生成 Coinbase API 签名的示例代码。 此签名对于向 Coinbase Pro API 发送安全请求至关重要，因为它验证了请求的来源和完整性。

import hmac import hashlib import time import requests

api_key = "YOUR_API_KEY" api_secret = "YOUR_API_SECRET" # 强烈建议使用具有高熵值的 passphrase 密钥，而非 API Secret，以增强安全性 api_passphrase = "YOUR_API_PASSPHRASE" method = "GET" path = "/v2/accounts" # 此处应替换为您要访问的 Coinbase API 端点，如获取账户信息、交易历史等 body = "" # GET 请求通常没有 body，对于 POST、PUT 等请求，body 应包含 JSON 格式的数据

timestamp = str(int(time.time()))

message = timestamp + method + path + body # 构造签名消息，包含时间戳、HTTP 方法、请求路径和请求体

hmac_key = api_secret.encode('utf-8') message_bytes = message.encode('utf-8')

signature = hmac.new(hmac_key, message_bytes, hashlib.sha256).hexdigest() # 使用 HMAC-SHA256 算法生成签名

headers = { "CB-ACCESS-KEY": api_key, "CB-ACCESS-SIGN": signature, "CB-ACCESS-TIMESTAMP": timestamp, "CB-ACCESS-PASSPHRASE": api_passphrase }

# 发送请求的示例 url = "https://api.coinbase.com" + path try: response = requests.get(url, headers=headers) # 或者使用 requests.post, requests.put 等，根据 method 变量确定 response.raise_for_status() # 如果响应状态码不是 200，则抛出 HTTPError 异常 print(response.()) except requests.exceptions.HTTPError as e: print(f"HTTPError: {e}") except requests.exceptions.RequestException as e: print(f"RequestException: {e}")

注意事项:

• 请务必替换 YOUR_API_KEY , YOUR_API_SECRET , 和 YOUR_API_PASSPHRASE 为您实际的 Coinbase API 凭证。
• API Secret 应严格保密，切勿泄露给他人。推荐使用 Passphrase 作为密钥，并定期更换，以提高安全性。
• 对于包含请求体的请求（如 POST 请求），请确保正确构造 JSON 格式的请求体，并将其包含在签名消息中。
• Coinbase API 的速率限制可能会影响您的请求。请仔细阅读 Coinbase API 文档，了解速率限制的详细信息，并采取适当的措施来处理速率限制错误。
• 请参考 Coinbase 官方 API 文档，获取最新的 API 端点和参数信息。

实际发起请求时，还需要使用 requests 库或其他 HTTP 客户端

例如：

import requests

url = "https://api.coinbase.com" + path

response = requests.get(url, headers=headers)

print(response.status_code)

print(response.())

代码示例 (JavaScript)

以下是一个使用 JavaScript 生成 Coinbase Pro API 签名的示例代码，该签名用于安全地对 API 请求进行身份验证。 请务必妥善保管您的 API 密钥和密钥密码，切勿将其泄露给任何第三方。

javascript const crypto = require('crypto'); const apiKey = 'YOUR_API_KEY'; // 您的 Coinbase Pro API 密钥 const apiSecret = 'YOUR_API_SECRET'; // 您的 Coinbase Pro API 密钥，强烈建议使用 passphrase 密钥 const apiPassphrase = 'YOUR_API_PASSPHRASE'; // 您的 Coinbase Pro API 密钥密码 const method = 'GET'; // HTTP 方法，例如 GET、POST、PUT、DELETE const path = '/v2/accounts'; // API 端点路径，例如 /v2/accounts const body = ''; // 请求体，对于 GET 请求通常为空字符串，对于 POST 或 PUT 请求则包含 JSON 数据。 如果有数据，请确保 JSON 数据已经字符串化：JSON.stringify(data)。 const timestamp = Math.floor(Date.now() / 1000).toString(); // Unix 时间戳（秒），表示请求发送的时间。 为了防止重放攻击，Coinbase Pro 服务器会拒绝时间戳过旧的请求。 const message = timestamp + method + path + body; // 用于生成签名的消息字符串，由时间戳、HTTP 方法、API 端点路径和请求体组成。 必须完全按照此顺序连接这些组件。 const hmac = crypto.createHmac('sha256', apiSecret); // 使用 SHA256 算法创建一个 HMAC 对象，使用 API 密钥作为密钥。 HMAC（Hash-based Message Authentication Code）是一种消息认证码算法，利用哈希函数，配合密钥，可以校验信息的完整性，并进行身份验证。 hmac.update(message); // 使用消息字符串更新 HMAC 对象。 此步骤会将消息数据输入到 HMAC 算法中。 const signature = hmac.digest('hex'); // 计算 HMAC 摘要，并将其转换为十六进制字符串。 此十六进制字符串就是 API 签名。 const headers = { 'CB-ACCESS-KEY': apiKey, // 您的 Coinbase Pro API 密钥，用于标识您的账户。 'CB-ACCESS-SIGN': signature, // API 签名，用于验证请求的真实性和完整性。 'CB-ACCESS-TIMESTAMP': timestamp, // Unix 时间戳，用于防止重放攻击。 'CB-ACCESS-PASSPHRASE': apiPassphrase // 您的 Coinbase Pro API 密钥密码，用于增加安全性。 }; // 实际发起请求时，还需要使用 node-fetch 或其他 HTTP 客户端。 // 请确保安装了 node-fetch： npm install node-fetch // 例如： // const fetch = require('node-fetch'); // const url = "https://api.coinbase.com" + path; // fetch(url, { headers: headers }) // .then(res => res.()) // 将响应解析为 JSON 格式 // .then(data => console.log(data)) // 处理 API 响应数据 // .catch(error => console.error('Error:', error)); // 错误处理，打印错误信息。 请务必妥善处理错误，例如重试请求、记录错误日志等。

重要安全注意事项

• 保护您的 API 密钥: API 密钥是访问您 Coinbase 账户的凭证，如同您银行账户的密码，务必妥善保管。将 API 密钥视为高度机密信息，任何能够访问该密钥的人都可以控制您的 Coinbase 账户。不要将密钥硬编码到您的应用程序源代码中，也不要将其提交到公共代码仓库（例如 GitHub），因为这会使您的密钥暴露给恶意用户。使用环境变量、配置文件或其他专门设计的密钥管理系统等安全的方式存储和访问您的密钥。考虑使用硬件安全模块 (HSM) 或云端的密钥管理服务来获得更高的安全性。
• 使用 API 密钥口令 (Passphrase): Coinbase 强烈建议您为 API 密钥设置一个口令 (Passphrase)。 口令可以作为额外的安全层，当您的 API 密钥意外泄露时，它可以防止攻击者立即利用该密钥。即使密钥本身暴露，攻击者仍需要知道口令才能使用该密钥进行交易或其他敏感操作。这意味着口令需要足够复杂且保密，并且与密钥本身分开存储和管理。
• 时间戳同步: Coinbase API 严格要求每个请求都包含一个时间戳，并且该时间戳必须在服务器时间的 30 秒之内。 这是为了防止重放攻击，即攻击者截获一个有效的 API 请求并稍后重新发送该请求。如果您的客户端时间与服务器时间偏差过大，请求将被拒绝，出现时间戳错误。建议使用 NTP (Network Time Protocol) 服务同步您的客户端时间。 NTP 客户端可以自动与多个时间服务器同步，确保您的系统时钟保持准确。在生产环境中，部署多个 NTP 服务器可以提高可靠性。
• 请求体签名: 对于所有修改数据的 POST 、 PUT 和 DELETE 请求，必须对请求体进行签名。签名是使用您的 API 密钥和口令（如果已设置）计算出的哈希值，它验证了请求的完整性和真实性。确保您使用的 JSON 序列化库生成的 JSON 字符串格式与 Coinbase API 期望的格式一致。不同的 JSON 序列化库可能会以不同的顺序排列键，这会导致签名不匹配。始终使用相同的序列化方式，并验证生成的 JSON 字符串与 API 文档中的示例完全一致。某些编程语言提供了特定的库或函数来帮助进行 Coinbase API 的签名计算。
• HTTPS: 始终使用 HTTPS 连接 Coinbase API。 HTTPS 通过使用 TLS/SSL 加密协议来确保您的请求在客户端和服务器之间传输过程中被加密，防止中间人攻击，保护您的数据免受窃听和篡改。不要使用未加密的 HTTP 连接，因为这会使您的 API 密钥和其他敏感信息暴露给攻击者。验证您使用的库或工具是否默认使用 HTTPS 连接。
• 错误处理: 仔细处理 API 返回的错误代码和错误消息。这些错误信息提供了有关请求失败原因的重要线索。如果您收到签名错误的错误，请仔细检查您的签名计算过程，确保所有步骤都正确执行，包括时间戳、请求体、API 密钥和口令的处理。记录所有 API 错误，以便您可以诊断和解决问题。
• 定期轮换密钥: 为了进一步提高安全性，强烈建议您定期轮换您的 API 密钥。这意味着创建新的 API 密钥并删除旧的 API 密钥。 Coinbase 允许您创建和删除 API 密钥。轮换频率取决于您的应用程序的安全需求和风险承受能力。考虑使用自动化工具来管理密钥轮换过程。
• 最小权限原则: 创建 API 密钥时，只授予您的应用程序所需的最低权限。 这称为最小权限原则，它有助于限制攻击者在密钥泄露时可能造成的损害。例如，如果您的应用程序只需要读取账户信息，则不要授予它交易权限或提款权限。仔细阅读 Coinbase API 文档，了解每个 API 密钥权限的含义。
• 速率限制: 了解 Coinbase API 的速率限制。 这些限制是为了防止 API 被滥用并确保所有用户都能公平地访问 API。如果您的应用程序超过了速率限制，您的请求将被拒绝。 Coinbase 提供了一些 HTTP 响应头，用于指示剩余的速率限制和重置时间。监控这些响应头，并根据需要调整您的应用程序以避免超过速率限制。考虑使用队列或缓存机制来平滑 API 请求，并避免突发流量。

常见问题排查

• 签名错误: 最常见的问题是签名计算不正确，导致请求无法通过身份验证。 请仔细检查您的代码，确保您严格按照 Coinbase API 文档中规定的步骤正确计算签名。 重点关注以下几个方面：
  • 请求方法（HTTP Method）: 确保在签名计算中使用的 HTTP 方法（例如 GET, POST, PUT, DELETE）与实际发送请求的方法完全一致。任何大小写或拼写错误都会导致签名验证失败。
  • 请求路径（Request Path）: 请求路径必须与 API 文档中指定的路径完全匹配。例如，`/v2/accounts` 与 `/v2/accounts/` 是不同的路径。
  • 时间戳同步: 您的客户端时间必须与 Coinbase 服务器时间保持同步。如果时间偏差过大，签名将无效。建议使用网络时间协议 (NTP) 服务来同步您的系统时钟。
  • 请求体序列化: 如果请求包含请求体（例如 POST 或 PUT 请求），则必须以特定格式（通常是 JSON）进行序列化，并且在计算签名时使用该序列化的字符串。检查你的序列化过程是否准确，避免出现意外的空格、换行符或字符编码问题。
  • API 密钥和密钥: 确保您使用的 API 密钥和密钥（Secret Key）是正确的，并且没有泄露给任何未经授权的方。
  • 字符编码: 在计算签名时，确保所有字符串都使用 UTF-8 编码。不同的编码方式会导致签名结果不同。
• 时间戳错误: 确保您的客户端时间与 Coinbase 服务器时间同步。Coinbase API 对时间戳的准确性有严格的要求。建议客户端使用 NTP 服务器同步时间，并允许一定的时间偏差容忍度（例如几秒钟）。 如果时间戳误差过大，请求会被服务器拒绝。
• 权限错误: 如果您尝试访问您没有权限的资源，或者执行您没有权限的操作，您将收到权限错误（通常是 HTTP 403 Forbidden）。 确保您的 API 密钥具有访问该资源的权限，并且您已经正确配置了 API 密钥的权限范围。 检查API密钥是否启用了所需的权限，例如读取交易记录、创建订单等。
• 速率限制错误: 如果您超过了 Coinbase API 的速率限制，您将收到速率限制错误（通常是 HTTP 429 Too Many Requests）。 Coinbase API 为了保护系统稳定性和公平性，对每个 API 密钥都有请求频率限制。 请减少您的请求频率，或者使用分页（Pagination）等技术来减少单个请求返回的数据量。 可以考虑使用指数退避（Exponential Backoff）策略来处理速率限制错误，即在收到速率限制错误后，等待一段时间再重试，并且每次重试都增加等待时间。查看Coinbase API的文档，确认具体的速率限制规则，并根据这些规则调整你的代码。

通过理解 Coinbase API 的签名加密机制，以及遵循上述安全注意事项和问题排查步骤，您可以安全且高效地与 Coinbase API 交互，构建可靠的加密货币应用程序，同时避免常见的错误和安全漏洞。 记住，仔细阅读和理解 Coinbase API 的官方文档至关重要。