API Key là gì? Lưu ý khi sử dụng API Key trong Trade Coin
API Key là gì?
API Key là các khoá (Key) để cấp quyền cho các phần mềm/ứng dụng nhận diện và làm việc với nhau.
Một số ví dụ quen thuộc về API:
- Kết nối API Key của Facebook, Instagram vào ứng dụng của bên thứ 3 để tự động đăng bài, comment.
- Các trang news về Cryptocurrency lấy API của Coinmarketcap để hiển thị giá cả thị trường.
- Nhập API Key của sàn giao dịch vào ứng dụng bên thứ 3 để thực hiện các giao dịch mà không cần truy cập trực tiếp vào sàn đó.
Tìm hiểu thêm: API là gì? Sợi dây kết nối mạng lưới thông tin toàn cầu.
Hôm nay mình sẽ giúp anh em hiểu sâu hơn về API Key trong việc trade coin.
Lấy API Key trên các sàn dùng để trade như thế nào?
Lấy API Key trên sàn để trade coin là việc anh em lấy API Key của sàn mình đang trade, gắn (nhập) nó vào ứng dụng khác để thực hiện các giao dịch trên các sàn này mà không cần truy cập trực tiếp các sàn đó. Đồng thời, có thể tận dụng được ưu điểm của ứng dụng bên thứ 3 kia để giao dịch mà sàn không có sẵn, ví dụ như dùng Bot trading.
Trên thực tế, khối lượng giao dịch của các sàn thông qua API tương đối lớn. Mình cũng khá bất ngờ sau khi research ra thông tin này. Anh em tham khảo bảng bên dưới. Điều này chứng tỏ một lượng lớn người dùng đang tham gia thị trường bằng cách sử dụng ứng dụng bên thứ 3.
Đọc thêm: Cách tạo API Key trên các sàn giao dịch.
Những điều cần lưu ý khi sử dụng API Key để Trade Coin
Hầu hết các sàn giao dịch Cryptocurrency hiện tại đều có tính năng API. Đây gần như là điều kiện tiên quyết để các sàn có thể cạnh tranh với nhau. Các sàn thậm chí còn liên tục cập nhật và nâng cấp tính năng cho API Key của họ, tại sao vậy? Gần đây nhất mình thấy Kucoin cũng nâng cấp và ra mắt API 2.0. Điều này cho thấy giao dịch thông qua việc sử dụng API ngày càng được các sàn quan tâm. Tất nhiên, việc này sẽ càng có lợi cho trader chúng ta, vì càng có nhiều lựa chọn.
Dưới đây là một số điểm cần chú ý khi sử dụng API Key mà mình đúc kết được.
Nên cấp quyền trên API như thế nào?
Thông thường mỗi khi khởi tạo (Generate) API Key, sàn luôn cho chúng ta 3 lựa chọn:
Read Info (General): Cho phép ứng dụng bên thứ 3 đọc các thông tin tài khoản. Ví dụ: số dư, lịch sử giao dịch, Buy/Sell Orders...
Enable Trading (Trade): Cho phép ứng dụng bên thứ 3 thực hiện các giao dịch trên tài khoản sàn. Ví dụ: Đặt các lệnh Place Buy/Sell Order, huỷ lệnh...
Enable Withdrawals (Withdraw): Cho phép ứng dụng bên thứ 3 thực hiện rút tiền trong tài khoản sàn sang địa chỉ ví khác.
Có thể chia 3 lựa chọn kể trên thành 3 Access Level khác nhau. Vậy anh em nên chọn level nào?
Câu trả lời tuỳ thuộc vào nhu cầu của mỗi người!!
Có người chỉ muốn dùng Apps bên ngoài đọc (tracking) thông tin biến động số dư, lịch sử giao dịch trên tài khoản của sàn. Có người lại muốn dùng Bot tự động để thực hiện các giao dịch một cách nhanh chóng và Auto tự động. Người khác lại có nhu cầu send/receive tiền trong tài khoản sàn.
Như nhu cầu của mình là cần dùng ứng dụng bên thứ 3 đọc số dư tài khoản, lịch sử giao dịch và sử dụng Bot để Auto Trading. Nên mình chỉ đồng ý cho phép thực hiện các quyền Read Info và Enable Trading khi bắt đầu khởi tạo API Key.
Nên lưu trữ API Key ở đâu để an toàn
Trong thị trường Cryptocurrency, anh em chắc hẳn đều hiểu được tầm quan trọng của việc bảo mật Private Key. Ở đây, API Key cũng có tầm quan trọng tương tự. Vì một khi có API Key sàn, kẻ xấu có toàn quyền sử dụng đúng như những gì anh em đã cấp khi Generate ban đầu. Thông thường sau khi khởi tạo API Key, sàn sẽ cung cấp Public Key và Private Key hay khoá công cộng và khoá cá nhân.
Sau khoảng 30’ kể từ lúc tạo API Key, sàn sẽ ẩn Private Key.
Đây cũng được coi là cách bảo vệ user của sàn tránh khỏi việc mất API Key. Tuy nhiên, việc tự mình lưu trữ API Key vẫn cần thiết.
Cách 1: Lưu API Key (Public Key và Private Key) vào file .txt hoặc file word nào đó.
Sau khi lưu API Key của mình vào file, anh em nén nó lại bằng phần mềm Winrar và cài đặt thêm mật khẩu cho file nén.
Bằng cách này, anh em có thể lưu file nén kia trong ổ cứng máy tính, USB hoặc quẳng thẳng nó lên đám mây (dịch vụ lưu trữ đám mây, ví dụ như: Google Drive, Dropbox, Mediafire...). Chỉ khi nào cần mới tải về và giải nén để sử dụng.
Cách này phải nói là tiện dụng nhất, kể cả với việc anh em lưu trữ Private Key của ví. Vì có thể lấy lại Key ở bất kỳ đâu, chỉ cần kết nối Internet.
Cách 2: Không cần lưu trữ API Key.
Như mình đã nhắc ở trên, Private Key sẽ được ẩn đi sau khoảng 30’ kể từ lúc khởi tạo. Kẻ gian cũng không thể làm gì nếu chỉ có Public Key. Vì vậy API Key vẫn luôn trong trạng thái bảo mật.
Tuy nhiên, với cách này, anh em không thể lấy lại được Private Key nữa. Cách duy nhất để tiếp tục sử dụng là tạo một API Key mới.
Khi nào nên xoá API Key?
Việc xoá API Key ở đây được hiểu là xoá hay huỷ bỏ hiệu lực của API Key đó trên các ứng dụng bên thứ 3. Tức là, dù có API Key này, nhưng khi thực hiện xoá nó trên tài khoản sàn của anh em thì ứng dụng ngoài cũng không thể làm gì được trên tài khoản của anh em. Bất kỳ khi nào anh em phát hiện hay cảm giác có sự xâm phạm từ bên ngoài thông qua API Key thì nên ngay lập tức xoá API Key.
Để xoá API Key, anh em chỉ cần truy cập vào phần API trong tài khoản sàn của mình và nhấn nút xoá.
Cần lưu ý gì khi sử dụng API để Trade coin một cách an toàn?
Bất kỳ ai có API Key đều có thể truy cập vào tài khoản sàn của anh em. Vì vậy, tốt nhất là không nên share nó cho ai cả.
Anh em nên chú ý về việc cấp quyền sử dụng thông qua API Key trước khi chính thức khởi tạo (Create) API.
Chỉ nên cho phép các level Read Info, Enable Trading. Không nên cấp quyền Enable Withdrawals khi không cần thiết.
Nếu cần Withdrawals thông qua API, anh em nên cài đặt thêm các lớp bảo vệ ví dụ như Google Authenticator, Email xác thực, SMS xác thực.
Chỉ nên tạo API Key trên các sàn có tính bảo mật cao và hỗ trợ tốt.
Vì thực tế khi sử dụng có thể anh em cần được hỗ trợ. Đặc biệt là liên quan tới API Key.
Việc này đảm bảo anh em được support kịp thời mọi lúc. Các sàn mình đánh giá có tính bảo mật cao được list ở phần tiếp theo.
Chỉ nên nhập API Key vào ứng dụng bên thứ 3 khi chắc chắn về tính bảo mật của họ. Anh em nên dành thời gian tìm hiểu cách họ bảo mật và lưu trữ API.
Không có gì an toàn tuyệt đối, kể cả sàn cũng có trường hợp bị hack. API Key cũng có khả năng bị hack.
Vậy nên, bất kể khi nào anh em có cảm giác API đang bị xâm phạm thì nên xoá Delete nó ngay. Đồng thời, kiểm tra về bảo mật trước khi tạo API mới. Cẩn thận vẫn hơn!!