Board index Bitcoin Qt Bitcoin Trader Упрощенный способ безопасной передачи API ключей с биржи

Упрощенный способ безопасной передачи API ключей с биржи

Qt Bitcoin Trader is open source application that helps you open and cancel BTC-e, Bitstamp, BTCChina, Bitfinex, GOC.io orders very fast. Real time data monitoring.


Posts: 11
Location: Ukraine

English

Все пользователи уже давно привыкли вводить логин и пароль на сайтах, но для каждого новичка на бирже, добавление API ключей в программу является новизной.
Это ведет за собой сложности и недопонимания как, откуда брать, и куда вводить API ключи.

Чтобы начать торговать, новый пользователь должен (обязательно):

1) Зарегистрироваться на сайте биржи.
2) Подтвердить email адрес.
3) Залогиниться в веб интерфейс.

Для того чтобы начать торговать с Qt Bitcoin Trader, пользователь должен сделать следующее:

1) Ввести логин, пароль и войти на сайт биржи.
2) Найти страницу где можно сгенерировать и включить API ключи (страница уникальна для каждой биржи).
3) Сгенерировать новые API ключи, задать права.
4) Открыть Qt Bitcoin Trader и выбрать биржу.
5) Копировать API ключи с сайта и вставить в Qt Bitcoin Trader.
6) Создать Qt Bitcoin Trader профиль.

Я хочу обобщить использование API ключей для всех бирж и привести к единому принципу их передачи в программу. Очень важно чтобы передача ключей была безопасной и нигде не использовался пароль биржи.

В новом методе пользователю для подключения API ключей надо будет:

1) Открыть Qt Bitcoin Trader и выбрать биржу.
2) Ввести логин\email биржи и задать пароль профиля в Qt Bitcoin Trader.
3) Подтвердить действие переходом по ссылке что придет на email.

Плюсы нового метода

1) Новому пользователю придется выполнить 3 простых шага вместо запутанных 6.
2) Используется авторизация по email и не требуются дополнительные подтверждения.
3) Пароль биржи нигде не передается и не вводится, а значит не может быть перехвачен.
4) Нет шансов на подмену страницы биржи с перехватом трафика содержащего API ключи.
5) API ключи не попадали в буфер обмена на клиентском компьютере и не были набраны на клавиатуре, в следствие не могут быть перехвачены таким образом.
6) Бирже не надо модифицировать существующее API.

Минусы

1) Биржа должна пойти на встречу и запустить дополнительный API сервер.

Больше деталей. Как это работает?

Когда пользователь выбирает биржу и вводит логин\email и создает профиль Qt Bitcoin Trader то программа подключается по специально разработанному API и отправляет запрос на создание новой временной пары API ключей. Временные ключи программа получает немедленно.
Полученные ключи остаются не активными до подтверждения активации по email. Срок работы ссылки активации 24 часа.
Если пользователь запустил Qt Bitcoin Trader с апи ключами которые еще не активированы, то он получит соответствующее сообщение.
Если с того же IP пришло больше нескольких запросов в час то API для получения ключей должно возвращать картинку с капчей.
После перехода по ссылке активации с email, должна открыться страница биржи с соответствующей запросу информацией о времени, IP адресе клиентской программы которая отправила запрос на генерацию временных ключей, так же дополнительное подтверждение активации.
Как только активация ключей подтверждена Qt Bitcoin Trader начинает работать таким же образом если бы ключи были введены вручную.

Биржа должна запустить еще один API сервер который будет сохранять временные API ключи и отправлять email подтверждения. Как только апи ключи подтверждены, API сервер отправляет их на главный сервер биржи и создает активирует их в аккаунте.

Return to Qt Bitcoin Trader