認證概覽
Webull OpenAPI 採用基於簽名的認證機制,確保每個 API 呼叫的安全性。本頁面說明認證模型及各組件的協作方式。
運作原理
每個發送至 Webull 的 API 請求必須包含兩項內容:
- 簽名 — 使用請求內容和 App Secret 計算的加密簽名(e.g. HMAC-SHA1)。用於證明請求的真實性且未被篡改。
- Token — 根據香港安全及合規要求,OpenAPI 還需要 Token 認證。透過 Webull App 驗證的可重複使用存取令牌,用於交易和帳戶操作。
所有 API 請求必須透過 HTTPS 發送。透過 HTTP 的呼叫將會失敗。未經認證的請求也會失敗。
認證流程
| 步驟 | 操作 | 詳情 |
|---|---|---|
| 1 | 獲取 API 憑證 | 申請 API 存取權限並生成 App Key 和 App Secret |
| 2 | 為每個請求簽名 | 使用 App Secret 從請求內容計算加密簽名。SDK 會自動處理此步驟。 |
| 3 | 建立 Token | SDK 會自動發起 Token 建立;您只需在 Webull App 中完成驗證 |
| 4 | 在標頭中包含憑證 | 在每個請求中加入 x-app-key、x-signature 和 x-access-token |
必要的請求標頭
| 標頭 | 必填 | 說明 |
|---|---|---|
x-app-key | 是 | 發給開發者用於存取 API 的唯一識別碼 |
x-timestamp | 是 | 請求時間戳,ISO 8601 格式:YYYY-MM-DDThh:mm:ssZ(僅限 UTC) |
x-signature | 是 | 驗證請求真實性和完整性的加密簽名 |
x-signature-algorithm | 是 | 簽名演算法(如 HMAC-SHA1) |
x-signature-version | 是 | 簽名演算法版本(如 1.0) |
x-signature-nonce | 是 | 唯一隨機字串,每次請求重新生成 |
x-version | 是 | 介面版本(接受 v2) |
關於 App Secret
app_secret 僅在客戶端用於簽名生成。它不會作為 HTTP 請求標頭發送。
SDK 用戶
Webull SDK 會自動處理簽名生成和 Token 建立/驗證。您只需配置 App Key 和 App Secret — SDK 會處理其餘所有步驟,包括雙重驗證流程。
管理您的憑證
您可以在 Webull 官方網站的 OpenAPI 管理 > 應用管理 中查看和管理 App Key 和 App Secret。
安全警告
您的 App Key 和 App Secret 包含重要的存取權限。切勿在公開場所(如 GitHub 儲存庫、客戶端程式碼或論壇)中暴露它們。
下一步
- Trading API申請流程 — 如何申請Trading API 存取權限並生成憑證
- Broker API 申請流程 — 如何申請Broker API
- 簽名 — 詳細的簽名生成演算法和範例
- Token — Token 建立、驗證和生命週期管理