API Key là gì? 04 lưu ý khi sử dụng API Key trong giao dịch

API Key là gì? Bài viết dưới đây của ICOViet cung cấp tất cả những thông tin cần thiết nhất về API Key và những điều cần lưu ý khi sử dụng API để trade coin.

API Key là gì?

API (Application Programming Interface) là giao diện lập trình ứng dụng. Giao diện Interface ở đây không phải là “bề mặt” để con người tiếp xúc với máy tính, mà chính là giao diện giữa phần mềm với phần mềm. Hay các bạn có thể hiểu là cửa sổ trung gian cho phép các phần mềm, ứng dụng, hay hệ thống giao tiếp với nhau, tận dụng năng lực của nhau.

API Key chính là các khoá (Key) để cấp quyền cho các phần mềm/ứng dụng nhận diện và làm việc với nhau.

Một số ví dụ quen thuộc về API

• Kết nối API Key của Facebook, Instagram vào ứng dụng của bên thứ 3 để tự động đăng bài, comment.
• Các trang news về Cryptocurrency lấy API của Coinmarketcap để hiển thị giá cả thị trường.
• Nhập API Key của sàn giao dịch vào ứng dụng bên thứ 3 để thực hiện các giao dịch mà không cần truy cập trực tiếp vào sàn đó.

Hôm nay mình sẽ giúp các bạn hiểu sâu hơn về API Key trong việc trade coin.

Lấy API Key trên các sàn dùng để trade như thế nào?

Lấy API Key trên sàn để trade coin là việc các bạn lấy API Key của sàn mình đang trade, gắn (nhập) nó vào ứng dụng khác để thực hiện các giao dịch trên các sàn này mà không cần truy cập trực tiếp các sàn đó. Đồng thời, có thể tận dụng được ưu điểm của ứng dụng bên thứ 3 kia để giao dịch mà sàn không có sẵn, ví dụ như dùng Bot trading.

Trên thực tế, khối lượng giao dịch của các sàn thông qua API tương đối lớn. Mình cũng khá bất ngờ sau khi research ra thông tin này. Các bạn tham khảo bảng bên dưới. Điều này chứng tỏ một lượng lớn người dùng đang tham gia thị trường bằng cách sử dụng ứng dụng bên thứ 3.

Xem hướng dẫn lấy API Key trên các sàn CEX phổ biến hiện nay tại đây.

Những điều cần lưu ý khi sử dụng API Key để Trade Coin

Hầu hết các sàn giao dịch Cryptocurrency hiện tại đều có tính năng API. Đây gần như là điều kiện tiên quyết để các sàn có thể cạnh tranh với nhau. Các sàn thậm chí còn liên tục cập nhật và nâng cấp tính năng cho API Key của họ, tại sao vậy? Gần đây nhất mình thấy Kucoin cũng nâng cấp và ra mắt API 2.0. Điều này cho thấy giao dịch thông qua việc sử dụng API ngày càng được các sàn quan tâm. Tất nhiên, việc này sẽ càng có lợi cho trader chúng ta, vì càng có nhiều lựa chọn.

Dưới đây là một số điểm cần chú ý khi sử dụng API Key mà mình đúc kết được.

Nên cấp quyền trên API như thế nào?

Thông thường mỗi khi khởi tạo (Generate) API Key, sàn luôn cho chúng ta 3 lựa chọn:

• Read Info (General): Cho phép ứng dụng bên thứ 3 đọc các thông tin tài khoản. Ví dụ: số dư, lịch sử giao dịch, Buy/Sell Orders…
• Enable Trading (Trade): Cho phép ứng dụng bên thứ 3 thực hiện các giao dịch trên tài khoản sàn. Ví dụ: Đặt các lệnh Place Buy/Sell Order, huỷ lệnh…
• Enable Withdrawals (Withdraw): Cho phép ứng dụng bên thứ 3 thực hiện rút tiền trong tài khoản sàn sang địa chỉ ví khác.

Có thể chia 3 lựa chọn kể trên thành 3 Access Level khác nhau. Vậy các bạn nên chọn level nào?

Câu trả lời tuỳ thuộc vào nhu cầu của mỗi cá nhân.

Có người chỉ muốn dùng Apps bên ngoài đọc (tracking) thông tin biến động số dư, lịch sử giao dịch trên tài khoản của sàn. Có người lại muốn dùng Bot tự động để thực hiện các giao dịch một cách nhanh chóng và Auto tự động. Người khác lại có nhu cầu send/receive tiền trong tài khoản sàn.

Như nhu cầu của mình là cần dùng ứng dụng bên thứ 3 đọc số dư tài khoản, lịch sử giao dịch và sử dụng Bot để Auto Trading. Nên mình chỉ đồng ý cho phép thực hiện các quyền Read Info và Enable Trading khi bắt đầu khởi tạo API Key.

Nên lưu trữ API Key ở đâu để an toàn

Trong thị trường Cryptocurrency, các bạn chắc hẳn đều hiểu được tầm quan trọng của việc bảo mật Private Key. Ở đây, API Key cũng có tầm quan trọng tương tự. Vì một khi có API Key sàn, kẻ xấu có toàn quyền sử dụng đúng như những gì các bạn đã cấp khi Generate ban đầu. Thông thường sau khi khởi tạo API Key, sàn sẽ cung cấp Public Key và Private Key hay khoá công cộng và khoá cá nhân.

Sau khoảng 30’ kể từ lúc tạo API Key, sàn sẽ ẩn Private Key.

Đây cũng được coi là cách bảo vệ user của sàn tránh khỏi việc mất API Key. Tuy nhiên, việc tự mình lưu trữ API Key vẫn cần thiết.

Cách 1: Lưu API Key (Public Key và Private Key) vào file .txt hoặc file word nào đó.

• Sau khi lưu API Key của mình vào file, các bạn nén nó lại bằng phần mềm Winrar và cài đặt thêm mật khẩu cho file nén.
• Bằng cách này, các bạn có thể lưu file nén kia trong ổ cứng máy tính, USB hoặc quẳng thẳng nó lên đám mây (dịch vụ lưu trữ đám mây, ví dụ như: Google Drive, Dropbox, Mediafire…). Chỉ khi nào cần mới tải về và giải nén để sử dụng.
• Cách này phải nói là tiện dụng nhất, kể cả với việc các bạn lưu trữ Private Key của ví. Vì có thể lấy lại Key ở bất kỳ đâu, chỉ cần kết nối Internet.

Cách 2: Không cần lưu trữ API Key.

• Như mình đã nhắc ở trên, Private Key sẽ được ẩn đi sau khoảng 30’ kể từ lúc khởi tạo. Kẻ gian cũng không thể làm gì nếu chỉ có Public Key. Vì vậy API Key vẫn luôn trong trạng thái bảo mật.
• Tuy nhiên, với cách này, các bạn không thể lấy lại được Private Key nữa. Cách duy nhất để tiếp tục sử dụng là tạo một API Key mới.

Khi nào nên xoá API Key?

Việc xoá API Key ở đây được hiểu là xoá hay huỷ bỏ hiệu lực của API Key đó trên các ứng dụng bên thứ 3. Tức là, dù có API Key này, nhưng khi thực hiện xoá nó trên tài khoản sàn của các bạn thì ứng dụng ngoài cũng không thể làm gì được trên tài khoản của các bạn. Bất kỳ khi nào các bạn phát hiện hay cảm giác có sự xâm phạm từ bên ngoài thông qua API Key thì nên ngay lập tức xoá API Key.

Để xoá API Key, các bạn chỉ cần truy cập vào phần API trong tài khoản sàn của mình và nhấn nút xoá.

Cần lưu ý gì khi sử dụng API để Trade coin một cách an toàn?

Bất kỳ ai có API Key đều có thể truy cập vào tài khoản sàn của các bạn. Vì vậy, tốt nhất là không nên share nó cho ai cả.

• Các bạn nên chú ý về việc cấp quyền sử dụng thông qua API Key trước khi chính thức khởi tạo (Create) API.
• Chỉ nên cho phép các level Read Info, Enable Trading. Không nên cấp quyền Enable Withdrawals khi không cần thiết.
• Nếu cần Withdrawals thông qua API, các bạn nên cài đặt thêm các lớp bảo vệ ví dụ như Google Authenticator, Email xác thực, SMS xác thực.

Chỉ nên tạo API Key trên các sàn có tính bảo mật cao và hỗ trợ tốt.

• Vì thực tế khi sử dụng có thể các bạn cần được hỗ trợ. Đặc biệt là liên quan tới API Key.
• Việc này đảm bảo các bạn được support kịp thời mọi lúc. Các sàn mình đánh giá có tính bảo mật cao được list ở phần tiếp theo.

Chỉ nên nhập API Key vào ứng dụng bên thứ 3 khi chắc chắn về tính bảo mật của họ. Các bạn nên dành thời gian tìm hiểu cách họ bảo mật và lưu trữ API.

• Không có gì an toàn tuyệt đối, kể cả sàn cũng có trường hợp bị hack. API Key cũng có khả năng bị hack.
• Vậy nên, bất kể khi nào các bạn có cảm giác API đang bị xâm phạm thì nên xoá Delete nó ngay. Đồng thời, kiểm tra về bảo mật trước khi tạo API mới. Cẩn thận vẫn hơn!!

Lời kết

Hy vọng qua bài viết của mình ngày hôm nay đã mang lại nhiều thông tin hữu ích cho các bạn. Chúc các bạn có thể ứng dụng kiến thức này để đầu tư và giao dịch thành công.