Bybit API：新手交易指南，玩转自动化交易！

2025-03-08 研究 26℃

Bybit API 教学

介绍

Bybit API 允许开发者通过编程方式与 Bybit 加密货币交易所进行交互，访问其丰富的金融数据和强大的交易功能。不同于手动操作网页或应用程序，API 提供了一种高效、自动化的途径，使开发者能够构建复杂的交易系统、监控市场动态，并无缝集成 Bybit 的服务到自己的应用程序中。

借助 Bybit API，您可以实现以下功能：

自动化交易策略： 根据预设的算法和条件，自动执行买卖操作，消除人为情绪的影响，提高交易效率。算法交易、量化交易等高级策略均依赖于 API 的自动化特性。
获取实时市场数据： 实时获取价格、成交量、深度图等关键市场信息，为交易决策提供依据。历史数据也可通过 API 获取，用于回测交易策略。
账户管理： 查看账户余额、持仓情况、交易历史等信息，方便用户监控账户状态。还可以通过 API 进行资金划转等操作。
风险管理： 通过 API 设置止损、止盈等风险控制参数，降低交易风险。
构建自定义应用： 将 Bybit 的交易功能嵌入到您自己的应用程序或平台中，满足特定的业务需求。

本文将提供 Bybit API 使用的详细指南，包括：

API 密钥的获取： 讲解如何从 Bybit 交易所获取 API 密钥，这是访问 API 的凭证。 API 密钥分为公钥和私钥，需要妥善保管。
API 请求的构建： 介绍如何构建符合 Bybit API 规范的请求，包括请求方法、URL、参数等。常用的请求方法包括 GET、POST、PUT、DELETE。
常见 API 接口的使用示例： 提供常用 API 接口的实际示例，例如获取市场数据、下单、撤单等。示例代码将帮助您快速上手 Bybit API 的使用。
错误处理： 介绍如何处理 API 返回的错误信息，确保程序的健壮性。
安全 considerations： 强调 API 使用过程中的安全注意事项，防止 API 密钥泄露和其他安全风险。

为了确保您能够顺利使用 Bybit API，本文将使用通俗易懂的语言和详细的代码示例，即使您是 API 开发新手也能轻松上手。我们还将介绍常用的编程语言（例如 Python）和库（例如 Requests）来简化 API 请求的构建过程。

准备工作

注册 Bybit 账户： 如果您尚未拥有 Bybit 账户，请访问 Bybit 官方网站并注册一个新账户。注册过程通常需要提供您的电子邮件地址或电话号码，并设置安全的密码。请务必使用强密码，并启用双重身份验证 (2FA) 以增加账户安全性。
KYC 认证： 为了符合监管要求并解锁 Bybit 平台的全部功能，可能需要完成 KYC（了解您的客户）认证。 KYC 认证通常涉及提供您的身份证明文件（例如护照或驾驶执照）以及地址证明。请按照 Bybit 官方网站的说明逐步完成 KYC 认证流程。未进行KYC认证可能导致API调用受限。
API 密钥获取： 登录您的 Bybit 账户后，导航至“API 管理”页面。您需要创建一个新的 API 密钥，用于通过 API 访问您的账户。
- API 密钥名称： 为您的 API 密钥指定一个易于识别且具有描述性的名称，例如“交易机器人 API”或“数据分析 API”。这将有助于您日后管理和区分不同的 API 密钥。
- 权限设置： 这是 API 密钥配置中最关键的步骤。您需要仔细选择 API 密钥的权限，以限制其可以执行的操作。权限设置不当可能导致安全风险。
  - 读取权限 (Read Only): 允许 API 密钥访问您的账户信息、市场数据、历史交易记录等只读数据。拥有此权限的 API 密钥无法执行任何交易或修改您的账户设置。这是最安全的权限选项，适用于只需要获取数据的应用程序。
  - 交易权限 (Trade): 允许 API 密钥代表您执行交易，例如下单、修改订单和取消订单。 务必谨慎使用此权限！ 仅当您需要构建自动交易机器人或使用第三方交易平台时才授予此权限。在授予此权限之前，请确保您完全了解相关风险，并对您的交易策略进行充分测试。
  - 提现权限 (Withdraw): 允许 API 密钥从您的 Bybit 账户提现资金。 强烈不建议授予此权限！ 授予此权限将使您的账户面临极高的安全风险。除非您有非常严格的安全控制措施，并且完全信任使用此 API 密钥的应用程序，否则请勿授予此权限。即使您需要自动提现资金，也应考虑使用其他更安全的替代方案，例如白名单提现地址或多重签名。
- IP 访问限制： 为了进一步提高安全性，强烈建议您限制 API 密钥只能从特定的 IP 地址访问。这可以防止未经授权的访问，即使 API 密钥泄露，攻击者也无法从其他 IP 地址使用该密钥。您可以指定一个或多个允许访问的 IP 地址。如果您不确定您的 IP 地址，可以使用在线工具进行查询。
创建成功后，您将获得 API Key 和 API Secret 。 API Key 用于标识您的应用程序，而 API Secret 用于对 API 请求进行签名。 请务必妥善保管您的 API Secret！ 它类似于您的账户密码，一旦泄露，可能会导致严重的资金损失。切勿将 API Secret 存储在不安全的地方，例如明文文件中或版本控制系统中。建议使用安全的密钥管理工具或环境变量来存储 API Secret 。如果您怀疑 API Secret 已经泄露，请立即撤销该 API 密钥并创建一个新的密钥。

API 调用基础

API 接口 (Endpoint)

Bybit 交易所提供多样化的 API 接口，旨在满足不同功能需求。其中，两种主要的接口类型分别是 REST API 和 WebSocket API。

REST API (表述性状态传递应用程序接口): 主要用于执行包括下单、撤单、查询账户余额、历史交易记录等交易相关操作，以及获取账户详细信息和市场数据快照。 REST API 遵循 REST 架构风格，通过标准的 HTTP 请求方法（例如 GET、POST、PUT、DELETE）与 Bybit 服务器进行通信。开发者可以使用各种编程语言和 HTTP 客户端库来构建与 REST API 交互的应用程序。每个 REST API 端点都对应一个特定的 URL，并接受特定的请求参数，返回 JSON 格式的响应数据。 REST API 通常采用请求频率限制（Rate Limiting）机制，以防止滥用并确保平台的稳定性。开发者需要注意控制请求频率，避免触发限流。
WebSocket API: 主要用于获取实时更新的市场数据，例如最新的交易价格、深度行情（Order Book）、交易量等。 WebSocket 协议提供了一种持久化的双向通信通道，允许服务器主动向客户端推送数据，而无需客户端频繁发起请求。这使得 WebSocket API 非常适合需要实时监控市场动态的应用程序，例如量化交易机器人、实时图表工具等。通过订阅特定的频道（Channel），客户端可以接收到指定交易对或指标的实时数据流。与 REST API 相比，WebSocket API 通常具有更低的延迟和更高的吞吐量，但需要维护一个长连接。

本文将重点介绍 REST API 的使用方法和相关技术细节，为开发者提供详细的指南。

API 请求结构

Bybit REST API 的请求结构如下，理解这些结构对于成功调用API至关重要：

Method: HTTP 方法 (GET, POST, PUT, DELETE)
URL: API Endpoint URL
Headers:

Content-Type: application/
X-BAPI-API-KEY: Your API Key
X-BAPI-SIGN: Signature
X-BAPI-SIGN-TYPE: 2 (HMAC SHA256)
X-BAPI-TIMESTAMP: Timestamp

Body: Request body (JSON format, for POST, PUT requests)

Method: HTTP 方法，定义了对指定资源的操作类型。
- GET ：用于从服务器检索数据，不会修改服务器状态。常用于查询操作。
- POST ：用于向服务器提交数据，通常用于创建新的资源或触发服务器端的动作。
- PUT ：用于替换服务器上已存在的资源。需要提供完整的资源信息。
- DELETE ：用于删除服务器上的指定资源。
URL: API Endpoint 的 URL，指向具体的 API 接口。例如，获取账户资金余额的 URL 可能为 https://api.bybit.com/v5/account/wallet-balance (主网) 或 https://api-testnet.bybit.com/v5/account/wallet-balance (测试网)。务必根据实际环境（主网或测试网）选择正确的 URL。主网用于真实交易，测试网用于开发和测试。
Headers: HTTP 请求头，包含了关于请求的元数据，例如认证信息、请求体格式等。
- Content-Type : 指定请求体的MIME类型，告知服务器请求体的数据格式。对于Bybit API，通常设置为 application/ ，表明请求体是 JSON 格式的数据。
- X-BAPI-API-KEY : 你的 API Key，用于身份验证，证明你有权访问 API 接口。需要在Bybit平台申请。
- X-BAPI-SIGN : 请求签名，用于验证请求的完整性和真实性，防止篡改。签名需要使用你的 API Secret 和请求参数，通过特定的签名算法生成。
- X-BAPI-SIGN-TYPE : 签名类型，指定了生成签名的算法。 Bybit 使用 2 表示 HMAC SHA256，这是一种常用的消息认证码算法。
- X-BAPI-TIMESTAMP : 时间戳，表示请求发送的时间，以秒为单位的 Unix 时间戳。用于防止重放攻击，确保请求的时效性。服务器会验证时间戳的有效性，过期的请求会被拒绝。
Body: 请求体，包含了要发送给服务器的数据。主要用于 POST 和 PUT 请求。请求体通常是 JSON 格式的数据，需要按照 API 文档规定的格式进行组织。请务必查阅Bybit API文档，了解每个接口所需的具体参数和格式。

请求签名

为了确保交易安全和API使用的合法性，Bybit API强制要求对所有请求进行签名验证。这种机制能够有效地防止恶意篡改和未经授权的访问。以下是详细的签名生成算法步骤：

构建签名字符串：

签名字符串是HMAC-SHA256算法的输入，其构成方式如下：

timestamp + apiKey + requestBody

timestamp : Unix时间戳，表示请求发送的时间，精确到秒。例如： 1678886400 。确保时间戳的准确性对签名验证至关重要。
apiKey : 您的Bybit API密钥，用于标识您的身份。API密钥具有唯一性，请妥善保管，切勿泄露。
requestBody : 请求体字符串，根据请求类型有所不同。

对于 POST 、 PUT 等请求， requestBody 通常是JSON格式的请求数据。确保JSON字符串的格式正确，键值对的顺序对签名没有影响。
对于 GET 请求，如果存在查询参数（query parameters），需要将这些参数按照字母顺序升序排列，并使用 & 符号连接。排序后，整个字符串作为 requestBody 。例如： symbol=BTCUSDT&side=Buy&qty=0.1&type=Market 。务必对参数名称进行 URL 编码。

使用 HMAC SHA256 算法计算签名：

利用您的 API Secret 作为密钥，对构建好的签名字符串进行 HMAC SHA256 加密计算。 API Secret 类似于密码，必须严格保密。

以下是一个Python示例代码，展示了如何生成Bybit API请求的签名：

import hashlib
import hmac
import time

def generate_signature(api_secret, timestamp, request_body):
    """
    生成 Bybit API 请求签名
    :param api_secret: 您的 API Secret
    :param timestamp: Unix 时间戳 (秒)
    :param request_body: 请求体字符串
    :return: HMAC SHA256 签名
    """
    param_str = str(timestamp) + api_secret + request_body
    hash = hmac.new(api_secret.encode("utf-8"), param_str.encode("utf-8"), hashlib.sha256)
    signature = hash.hexdigest()
    return signature

# 示例用法
api_secret = "YOUR_API_SECRET" # 替换为您的真实 API Secret
timestamp = int(time.time())
request_body = "symbol=BTCUSDT&side=Buy&qty=0.1&type=Market" # GET 请求示例
signature = generate_signature(api_secret, timestamp, request_body)

print(f"时间戳: {timestamp}")
print(f"签名: {signature}")

在Python中，您可以使用内置的 hmac 和 hashlib 模块来实现HMAC SHA256 签名计算。请确保安装了这些必要的模块。在实际应用中，替换示例代码中的 YOUR_API_SECRET 为您的实际 API Secret。务必将 API Secret 安全存储，避免泄露。

发送 API 请求

与交易所API的交互是程序化交易和数据分析的关键步骤。你可以使用任何标准的 HTTP 客户端库来发送 API 请求。选择合适的库取决于你的编程语言和偏好。常见的选择包括 Python 的 requests 库、JavaScript 的 axios 或 fetch API，以及 Java 的 HttpClient 等。

例如，以下展示了在 Python 中使用 requests 库发送 API 请求的示例。该示例包含构建请求、添加身份验证标头和处理响应的典型步骤。首先确保安装了 requests 库： pip install requests 。

import requests
import time
import hashlib

api_key = "YOUR_API_KEY"
api_secret = "YOUR_API_SECRET"
base_url = "https://api.bybit.com"  # 或 "https://api-testnet.bybit.com"

def generate_signature(api_secret, timestamp, param_str):
    """
    生成 Bybit API v5 签名。
    """
    sign_str = str(timestamp) + api_key + param_str
    hash = hashlib.sha256(sign_str.encode("utf-8")).hexdigest()
    return hash

def get_wallet_balance(coin="USDT"):
    """
    获取账户余额。
    """
    endpoint = "/v5/account/wallet-balance"
    url = base_url + endpoint

    timestamp = int(time.time() * 1000)  # Bybit v5 使用毫秒时间戳
    params = {"accountType": "UNIFIED", "coin": coin}
    param_str = "&".join([f"{k}={v}" for k, v in sorted(params.items())])

    signature = generate_signature(api_secret, timestamp, param_str)

    headers = {
        "Content-Type": "application/; charset=utf-8",  # 明确指定字符集
        "X-BAPI-API-KEY": api_key,
        "X-BAPI-SIGN": signature,
        "X-BAPI-SIGN-TYPE": "2",
        "X-BAPI-TIMESTAMP": str(timestamp)
    }

    response = requests.get(url, headers=headers, params=params)
    response.raise_for_status() # 检查 HTTP 状态码，如果不是 200 则抛出异常

    try:
        return response.()
    except ValueError:
        print(f"Error decoding JSON: {response.text}")
        return None

# 示例调用
if __name__ == '__main__':
    balance = get_wallet_balance()
    if balance:
        print(balance)

这段代码展示了完整的 API 请求流程，从生成签名到解析响应。 注意：

使用你自己的 API 密钥和密钥替换 "YOUR_API_KEY" 和 "YOUR_API_SECRET" 。
Bybit API v5 使用 毫秒级时间戳 。
generate_signature 函数使用 SHA256 算法根据 API 密钥、时间戳和请求参数创建签名。
请求头必须包含 API 密钥、签名、签名类型和时间戳。
Content-Type 设置为 application/; charset=utf-8 以确保服务器正确解析请求体。
response.raise_for_status() 检查 HTTP 状态码，并在发生错误时引发异常。捕获异常能够更健壮地处理错误。
异常处理程序尝试解析 JSON 响应，并在发生错误时打印原始响应文本。

示例：查询钱包余额

在区块链开发中，获取钱包余额是一个常见的操作。以下代码演示了如何使用 get_wallet_balance() 函数查询指定钱包的余额。

get_wallet_balance() 函数通常会与区块链节点或第三方API交互，以获取最新的账户余额信息。具体实现可能因使用的区块链平台和编程语言而异。

balance = get_wallet_balance()

这行代码调用 get_wallet_balance() 函数，并将返回的余额值存储在名为 balance 的变量中。 balance 变量的单位通常是该区块链的原生代币，例如以太坊中的以太币（ETH）或比特币中的比特币（BTC）。

print(balance)

此命令将 balance 变量的值打印到控制台。这允许开发者快速查看钱包的当前余额。在实际应用中，余额信息可能会以更友好的方式显示在用户界面中。

请注意，在实际应用中，你需要替换 get_wallet_balance() 为实际可用的函数或API调用，并且正确配置钱包地址和访问权限。

常见 API 接口

以下是一些常见的 Bybit API 接口，这些接口是开发者与交易所交互的核心组件，涵盖了账户信息查询、交易操作、以及市场数据获取等关键功能：

获取账户余额： /v5/account/wallet-balance (GET) - 此接口允许用户查询其账户中不同币种的可用余额、冻结余额等信息。通过GET请求，开发者可以获取账户的全面财务状况，用于风险评估、资金管理等用途。API返回的数据包括币种类型、可用余额、冻结余额以及账户权益等详细信息。
下单： /v5/trade/order/create (POST) - 用于创建新的交易订单。通过POST请求，用户可以指定交易的币对、交易方向（买入/卖出）、订单类型（限价单、市价单等）、数量以及价格（限价单）。该接口是进行交易的核心，支持各种高级订单类型，例如止损单、止盈单等，以满足不同的交易策略需求。请求体需要包含订单类型、交易对、数量、价格等详细参数。
撤单： /v5/trade/order/cancel (POST) - 允许用户取消尚未成交的订单。通过POST请求，用户需要提供要取消订单的 ID 或其他唯一标识符。撤单操作对于及时调整交易策略、避免不必要的损失至关重要。API需要订单ID作为参数来指定需要取消的订单。
获取订单列表： /v5/trade/order/list (GET) - 用于查询用户的订单历史记录以及当前未成交的订单。通过GET请求，开发者可以获取指定时间范围内的订单信息，包括订单状态、价格、数量、下单时间等。这对于追踪交易活动、分析交易策略的有效性非常有帮助。支持分页查询，可以获取大量的订单信息。
获取历史成交记录： /v5/trade/fills (GET) - 用于查询用户的历史成交记录。通过GET请求，开发者可以获取已成交订单的详细信息，包括成交价格、成交数量、手续费等。成交记录是评估交易绩效、进行税务申报的重要依据。API支持通过交易对、订单ID等参数进行过滤查询。
获取市场行情： /v5/market/tickers (GET) - 提供当前市场行情信息，例如最新成交价、最高价、最低价、成交量等。通过GET请求，开发者可以获取实时市场数据，用于制定交易策略、进行风险管理。API返回的数据包括交易对的最新价格、24小时涨跌幅、成交量等关键指标。
获取 K 线数据： /v5/market/kline (GET) - 提供指定时间周期的 K 线数据。通过GET请求，开发者可以获取特定交易对在一段时间内的开盘价、收盘价、最高价、最低价以及成交量等数据，用于技术分析和趋势预测。API允许指定K线的时间周期，如1分钟、5分钟、1小时等。

请参考 Bybit API 文档获取完整的 API 接口列表和参数说明，文档中详细描述了每个接口的请求参数、返回数据格式、错误代码以及使用示例。开发者应仔细阅读文档，以便更好地理解和使用 Bybit API。

错误处理

Bybit API 在与交易所进行数据交互时，可能会返回各种错误码，这些错误码是诊断问题和优化交易策略的重要依据。开发者需要认真对待并根据具体的错误码信息进行相应的处理，以确保程序的稳定性和交易的可靠性。常见的错误码及其详细解释包括：

10001 : 请求参数错误。这意味着你发送到 Bybit API 的请求中包含了无效或不符合要求的参数。需要仔细检查请求的参数名称、数据类型、取值范围等是否符合 API 文档的规范。例如，检查时间戳格式、价格精度、数量单位等。
10002 : API Key 无效。这表明你提供的 API Key 无法通过 Bybit 的身份验证。请确保 API Key 和 Secret Key 正确无误，并且已经正确配置到你的程序中。同时，检查你的 API Key 是否已经过期或被禁用。
10003 : 签名验证失败。Bybit API 使用签名来验证请求的完整性和真实性。此错误表示你生成的签名与 Bybit 服务器计算出的签名不匹配。需要仔细检查签名算法的实现，包括参数排序、字符串拼接、哈希算法、大小写转换等细节。确保签名过程与 Bybit API 文档完全一致。
10005 : IP 访问限制。Bybit 允许用户设置 IP 白名单，限制只有特定 IP 地址才能访问 API。如果你收到了此错误，表示你的 IP 地址不在白名单中。你需要登录 Bybit 账户，在 API 设置中添加你的 IP 地址到白名单，或者取消 IP 限制。
10006 : 账户余额不足。此错误发生在执行交易操作时，表示你的账户中没有足够的资金来完成订单。你需要检查你的账户余额，确保有足够的资金用于购买或出售加密货币。同时，考虑交易手续费对可用余额的影响。

在你的代码中，必须加入健壮的错误处理逻辑，以便在出现错误时能够及时采取措施。这包括但不限于：

重试请求： 对于一些临时的网络错误或服务器繁忙，可以尝试自动重试请求。可以设置重试次数和重试间隔，避免因瞬时故障导致交易失败。
记录错误日志： 将错误信息记录到日志文件中，包括错误码、错误信息、请求参数、时间戳等。这有助于你追踪问题、分析原因、并进行调试。
发送警报： 当发生严重的错误时，例如 API Key 无效、签名验证失败等，可以发送警报通知到你的邮箱或手机，以便及时处理。
优雅降级： 在出现错误时，避免程序崩溃或死循环。可以采取一些降级措施，例如暂停交易、切换到备用 API 接口等，以保证程序的可用性。
用户反馈： 将错误信息以友好的方式展示给用户，例如在交易界面上显示错误提示，引导用户进行正确的操作。

通过完善的错误处理机制，你可以提高 Bybit API 应用程序的稳定性和可靠性，降低交易风险，并提升用户体验。

安全建议

保护你的 API Secret： API Secret 相当于访问你账户的密钥，泄露给他人将导致资产风险。务必将其视为最高机密，如同你的银行密码一样。切勿在公共场合、社交媒体或任何不安全的渠道分享你的 API Secret。不要将其存储在版本控制系统（如 Git）中，以防止意外泄露。
限制 API 密钥权限： 最小权限原则是保障 API 密钥安全的关键。在创建 API 密钥时，只授予密钥执行其预期任务所需的最低权限。例如，如果你的应用程序只需要读取市场数据，则不要授予提现或交易权限。大多数交易所和API平台都提供细粒度的权限控制，请务必充分利用这些功能。
使用 IP 访问限制： 将 API 密钥的访问限制到特定的 IP 地址，可以有效防止未经授权的访问。即使 API Secret 泄露，攻击者也无法从未经授权的 IP 地址访问你的账户。确定应用程序运行所需的 IP 地址范围，并将其配置为允许访问的 IP 地址列表。定期审查和更新此列表，确保其与你的应用程序部署保持同步。
定期更换 API 密钥： 定期更换 API 密钥是一种主动的安全措施。即使你的 API Secret 没有泄露，定期更换密钥也可以降低潜在的风险。你可以将其视为一种预防性维护，以应对未来可能出现的安全漏洞。养成定期更换 API 密钥的习惯，并建立相应的自动化流程。
监控 API 使用情况： 密切监控 API 的使用情况，可以及时发现异常行为，例如交易量异常增加、来自未知 IP 地址的请求或未经授权的操作。设置警报系统，以便在检测到可疑活动时立即收到通知。分析 API 使用日志，以便识别潜在的安全漏洞并采取相应的措施。