OKX子账户如何独立配置API密钥权限?
功能定位:为什么子账户必须独立密钥
统一账户 3.0 把现货、合约、理财等模块全部打通,主账户 API 密钥默认“一键全开”。把这样一把“万能钥匙”交给量化团队或第三方托管,等于把全部敞口一并奉上。子账户的 Sub-API Key 通过「账户-权限-IP」三重隔离,把风险锁在指定币种与额度内,也是 2026 年 OKX 机构用户合规审计的硬性前提。
经验性观察:同一母账户下,子账户之间划转免链上确认,却各自独立计算风险限额。做市商因此把「做市子账户」与「对冲子账户」密钥分离,既满足风控隔离,又避免内部划转延迟。
前置检查:你是否有资格创建子账户
身份等级与数量上限
截至当前版本,OKX 把子账户配额与 KYC 等级直接挂钩:
- 基础 KYC:0 个子账户
- 高级 KYC:20 个子账户
- 机构 KYC:200 个子账户,且可提交工单再扩容
若页面提示「已达上限」,优先检查母账户是否完成机构认证,而非反复尝试新建。
母账户必须开启「子账户管理」模块
App 端路径:资产页 → 右上角「≡」→ 子账户 → 开启管理开关。若未出现该开关,说明账户等级不足或未完成视频核身,需先补录。
决策树:什么时候用子账户密钥,而不是主账户密钥
提示
把下列问题回答「是」即进入子账户方案,否则继续用主账户即可。
- 第三方团队是否需要访问你的账户?
- 是否需要对不同币种设置不同风险限额?
- 是否准备向审计方提供「只读」密钥?
- 是否计划参与 Jumpstart 2.0 但担心首发币被锁仓影响主账户杠杆?
只要任意一条为「是」,就值得花 10 分钟配置子账户密钥;否则继续用主账户可减少维护成本。
操作路径:三步完成独立密钥配置
Step 1 创建子账户(桌面端最短路径)
登录 OKX 官网 → 账户 → 子账户 → 创建子账户 → 输入备注(例如「量化-做市1」)→ 提交。创建成功后,页面会返回一串「子账户 UID」,复制保存,后续 API 鉴权需用。
Step 2 配置资产权限(App 端可完成)
资产 → 子账户 → 选择刚创建的子账户 → 资金划转 → 把 USDC、BTC 等币种从主账户划入。注意:子账户没有法币通道,只能接受主账户内部划转。
Step 3 生成 Sub-API Key 并最小化授权
桌面端:API 管理 → 子账户 API → 新建 → 选择子账户 → 填写备注 → 绑定 IP 白名单(建议 /32 精确到单 IP)→ 勾选「读取」「交易」但取消「提现」→ 提交。系统会返回 `apiKey`、`secretKey`、`passphrase` 三串字符,仅在创建瞬间显示,务必离线保存。
平台差异对照表
| 功能点 | 桌面 Web | iOS/Android App |
|---|---|---|
| 创建子账户 | 账户→子账户→创建 | 资产→子账户→右上角「+」 |
| 生成 Sub-API | API 管理→子账户 API→新建 | 暂不支持,需切 Web |
| IP 白名单 | 支持 /32、/24、IPv6 | 仅查看,不可编辑 |
| 权限修改 | 即时生效 | 需切 Web,App 仅推送通知 |
常见分支与回退方案
误删 Sub-API 怎么办?
Sub-API 被删除后,所有用该密钥的量化程序会立刻收到 401。OKX 不提供「恢复」按钮,只能新建密钥并修改程序配置。为降低停机时间,建议在程序里支持「主-备双密钥」:主密钥失效时自动切换到备用子账户,再通知运维重新生成并替换。
IP 白名单填错导致无法连接
警告
OKX 对 Sub-API 的 IP 校验是「硬拒绝」:返回 403 且不计入速率限制,因此不会自动解封。若你使用的是云函数动态 IP,请把出口网段写成 /24 或绑定弹性公网并固定 /32。
回退步骤:登录 Web → API 管理 → 找到对应 Sub-API → 编辑 → 删除旧 IP → 填入当前公网 IP(可搜索 what is my ip 获得)→ 保存后 30 秒内生效。
与第三方机器人协同:最小权限模板
以「网格机器人」场景为例,机器人只需要「读取账户信息」「下单」「撤单」三项,不需要「提现」「划转」「充币」。在新建 Sub-API 时,只勾选读取与交易即可。经验性观察:若误开启「划转」权限,机器人一旦遭到注入攻击,可把子账户余额全部划到攻击者控制的子账户,且链上不可撤回。
验证方法:用 Postman 调用 GET /api/v5/account/balance,确认返回的 data[0].details 数组里只有子账户 UID 下的币种;若出现主账户资产,说明权限配置错误。
故障排查:Sub-API 返回码速查
| HTTP 码 | 返回 msg 示例 | 可能原因 | 处置动作 |
|---|---|---|---|
| 401 | Invalid OK-ACCESS-KEY | 密钥被删除或复制错误 | 重新生成并替换 |
| 403 | Request IP does not match | IP 白名单错误 | 编辑 IP 并保存 |
| 429 | Too Many Requests | 子账户与主账户共享限速 | 降低轮询频率 |
| 50008 | Sub-account does not exist | UID 填错或子账户被删 | 核对 UID 或重建 |
适用/不适用场景清单
适用
- 量化基金需对外提供只读审计密钥
- Jumpstart 首发锁仓币与主账户杠杆隔离
- 多策略团队共用同一母账户,但策略间禁止互看仓位
- 云服务器固定 IP,需最小化攻击面
不适用
- 个人低频现货定投,维护子账户反而增加操作
- 动态 IP 家用宽带,每拨号一次就要改白名单
- 需要频繁法币出入金(子账户无法绑定银行卡)
- 单账户资金 <1 万 USDT,风控收益比过低
最佳实践检查表
- 创建子账户时,备注用「业务-负责人-日期」格式,方便一年后还能看懂。
- 生成 Sub-API 后,立刻用密码管理器保存三串密钥,禁止进微信群。
- IP 白名单用 /32,若必须 /24,确保该段只有可信服务器。
- 权限遵循「默认拒绝」:每新增一个机器人,先不给任何权限,按需逐条开启。
- 每季度审计一次子账户余额,若发现长期闲置,及时回收并删除 API。
FAQ(结构化数据)
子账户能否单独设置杠杆倍数?
可以。在子账户界面 → 交易设置 → 杠杆倍数,与主账户互不影响,但上限仍受母账户等级约束。
子账户 API 被暴力破解会怎样?
OKX 会在 5 分钟内触发「冻结子账户交易」风控,母账户不受影响。解冻需二次验证+工单。
能否把子账户余额一键转回主账户?
可以。资产 → 子账户 → 一键回收 → 勾选全部币种 → 确认,实时到账且无手续费。
子账户能否参与 Jumpstart 抽签?
不能。Jumpstart 2.0 规则明确只统计主账户持仓与交易量,子账户资产需先划回主账户才能计入。
删除子账户后,其 API 密钥会自动失效吗?
会。子账户删除瞬间,所有关联 API 密钥立即失效,程序将收到 401,需重新建立新子账户。
收尾:下一步行动建议
如果你已拥有高级 KYC 且资金规模 >5 万 USDT,立即花 10 分钟按本文步骤创建第一个子账户,把「交易」与「提现」权限分离,再用 Postman 验证返回码。完成这一步,你就拥有了可审计、可回退、可扩容的 API 权限模型,为后续接入量化策略、做市商 API、机构托管打下合规地基。
若仍低于 1 万 USDT 且以手动现货为主,把文章收藏,等资金或团队规模扩大后再回来执行,避免过早引入维护成本。
