OKX子账户如何开通独立API密钥?
功能定位:为什么子账户必须独立API
在 OKX(截至当前最新版本)里,子账户开通独立 API 密钥 是机构与量化团队默认的安全隔离基线。主账户只保留“财务审批”角色,子账户拥有独立 UID、独立充值地址、独立 API Key/Secret,天然满足“最小权限 + 可审计”两大合规要点。经验性观察:把高频策略迁到子账户 API 后,主账户被钓鱼或脚本误操作的风险可降至接近零。
与“主账户新建标签 Key”相比,子账户 API 额外提供:① 独立保证金模式切换(单币种 / 跨币种 / 投资组合);② 独立费率等级(VIP 随交易量提升,不与主账户混算);③ 独立 IP 白名单(最多 24 组);④ 独立提币白名单(可完全关闭提币)。一句话:子账户 API 把“爆仓、被盗、费率、审计”四件事彻底拆出去。
前置检查:3 个准入条件
- 主账户已通过 KYC-L2(上传证件 + 人脸识别)。
- 已开启谷歌验证或硬件 Ukey(二选一,短信不行)。
- 子账户状态 =“已创建”且“已激活”(首次登录过即可)。
若第 3 条不满足,系统会在创建 API 时提示“子账户未激活”,此时用子账户邮箱在网页端登录一次即可消除。
操作路径(网页端最短)
1. 进入子账户管理中心
登录主账户 → 右上角头像 →【账户管理】→【子账户】→ 在列表点“管理”进入子账户控制台。
2. 创建 API
在子账户控制台 →【API】→【创建 API Key】→ 按提示填写:① 备注:建议“策略名 + 日期”,如“MM-0401”;② 权限:只勾选“读取”+“交易”,不要给“提币”;③ IP 白名单:先输入当前出口 IP,保存后再逐步追加;④ 谷歌验证码 → 提交。
3. 保存 Secret
弹窗只出现一次,复制后离线保存;若遗失,只能删除重建。
移动端能否完成?
App v6.64.3 已支持“子账户 API 管理”,但路径更深:【资产】→【子账户】→ 选中子账户 →【更多】→【API 管理】→【+】。经验性观察:手机输入法容易把 Secret 里的“l”“1”搞混,建议用 PC 端首次创建,后续轮转再用移动端维护。
平台差异小结
| 平台 | 最短入口 | 是否支持扫码复制 |
|---|---|---|
| 网页端 | 3 步 | 不支持,需手动复制 |
| Windows/Mac 客户端 | 同网页端 | 不支持 |
| App(Android/iOS) | 5 步 | 支持一键复制到剪贴板 |
权限矩阵:如何勾选才安全
官方把权限拆成 6 个细项,常见组合如下:
- 量化做市:读取 + 交易 + 杠杆(不提币)。
- 行情爬虫:仅读取。
- 套利清仓:读取 + 交易 + 杠杆 + 交割(仍不提币)。
警告
一旦给“资金”权限,子账户即可划转到主账户,若 Key 泄露等于提币敞口;如无必要,请勿勾选。
IP 白名单最佳实践
OKX 允许单 Key 绑定 ≤24 个 IPv4/IPv6/CIDR。经验性做法:
- 云服务器:用“弹性公网 IP/32”精确锁定,避免整段 CIDR 被共享。
- 办公灾备:再备一条“办公固定 IP/32”,防止云宕机时手工介入。
- 家用宽带:若 IP 每天变动,宁可不开 IP 白名单,改用“仅交易”低额度 Key,也不要写 0.0.0.0/0。
常见失败分支与回退
1. 提示“子账户无可用保证金”
原因:子账户未划转资金。回退:主账户→【资金划转】→ 方向选“主→子”→ 币种 USDT→ 数量≥10 USDT→ 确认即可。
2. 提示“IP 格式错误”
原因:把“123.123.123.123/24”写成“123.123.123.123/255.255.255.0”。回退:统一 CIDR,如 /24、/32。
3. 提示“权限不足”
原因:子账户被主账户设置了“仅查看”。回退:主账户→【子账户管理】→ 权限模板→ 把“交易”开关打开。
与第三方托管 Bot 协同
经验性观察:很多用户把子账户 Key 交给 Python 网格脚本。OKX 并未提供官方 Bot 市场,因此务必遵循“最小权限 + 单 Key 单策略”原则:
- 不同策略用不同 Key,方便后续撤销而不影响其他策略。
- Key 备注写成“策略 + 服务器末位 IP”,审计时一眼识别。
- 每月 1 号轮转 Secret,旧 Key 先“禁用”24 h 观察无异常再删除。
验证与观测方法
创建完成后,用 curl 验证连通性:
GET /api/v5/account/balance?ccy=USDT -H "OK-ACCESS-KEY: 你的Key" -H "OK-ACCESS-SIGN: 签名" -H "OK-ACCESS-TIMESTAMP: 时间戳"
返回 code=0 即代表网络、权限、IP 白名单全部通过;若 code=50114 代表 IP 被拒绝,需重新核对白名单。
适用场景清单
- 资管团队:一个子账户对应一只基金,独立审计。
- 量化做市:高频策略与手工账户完全隔离,防止误平仓。
- 校园实训:老师把子账户 Key 发给学生,爆仓也不影响主账户。
- DeFi 套利:用子账户 API 喂价到链上合约,泄露也无可提币权限。
不适用场景
- 需要随时大额提币到冷钱包——子账户提币需主账户二次审核,流程反而更长。
- 只想用 OKX Wallet 连接 DApp——Wallet 属于自托管产品,无需 API。
- 单账户日交易额<1 万 USDT——主账户标签 Key 足够,建子账户反而增加管理成本。
最佳实践速查表
- 命名:策略_服务器_日期,方便 30 天后轮转。
- 权限:默认“读取 + 交易”,其余一律不勾。
- IP:生产环境 /32 + 办公灾备 /32,杜绝 0.0.0.0/0。
- 频率:用 /rest/trade/order 接口时,限频 120 req/2s,超出会返回 429。
- 监控:子账户净值<初始 90% 自动发邮件,主账户接收。
FAQ(结构化数据)
子账户 API 可以设置子权限吗?
目前 OKX 仅支持 6 项固定权限,不可再细分;如需更细粒度,只能拆分子账户。
子账户的费率等级怎么算?
独立计算,不与主账户累加;30 日交易量达标后,次日 8:00 UTC 自动升级。
最多能建多少个子账户 API?
每个子账户最多 50 组 Key,全 UID 下子账户总数 ≤300,对一般团队足够。
删除 Key 后,未成交订单会怎样?
订单仍有效,直到全部成交或手动撤销;删除 Key 仅废用该通道,不影响挂单。
可以批量导入 IP 白名单吗?
网页端暂不支持;可用【API 管理】接口 /v5/users/subaccount/modify-api 批量更新,限频 20 次/2s。
收尾:下一步行动
读完本文,你已知道 OKX 子账户如何开通独立 API 密钥 的完整链路。立刻做三件事:
① 登录主账户,按文内路径创建第一个子账户 Key;
② 用 curl 验证读取接口,确认 IP 白名单生效;
③ 把 Key 备注、权限、轮转日期写进内部 Wiki,30 天后回来轮转。
子账户 API 不是“多此一举”,而是把交易、风控、审计三条线一次性拉齐的最小成本方案。今天花 3 分钟建好,未来就能省下无数通宵救火的时间。
📺 相关视频教程
【小白撸毛教程】OKX钱包适合撸毛,批量添加账户,可以生成无限个账户,安全高效!批量多对多转账,方便撸毛!跨链兑换gas,适合刷layerzero,太方便了,强烈推荐!【批量生成钱包,批量转账】
