Bithumb API加密教程：进阶理解密钥与权限控制

2025-03-03 10:03:58 12

Bithumb API 加密教程：进阶篇

理解Bithumb API密钥与访问权限

Bithumb API 允许开发者通过程序化接口安全访问交易所的广泛数据和服务。这些接口涵盖了从实时市场数据流到账户管理和交易执行等关键功能。通过使用 API，开发者能够构建自动化交易策略、创建数据分析工具，并将 Bithumb 的功能集成到各种应用程序中。为了确保平台安全和用户数据保护，Bithumb 采用了严格的 API 密钥系统进行身份验证、访问控制和授权管理。

每个 Bithumb 用户可以创建多个 API 密钥，从而实现细粒度的权限管理。每个 API 密钥都与特定的权限集相关联，允许用户精确控制哪些操作可以通过该密钥执行。这种机制减少了潜在的安全风险，并确保只有授权的操作才能被执行。 API密钥是您访问Bithumb API的凭证，请务必妥善保管，防止泄露。

只读权限 (Read-Only): 此权限级别允许应用程序访问市场数据，例如实时价格、交易量和历史数据。它还允许应用程序检索账户信息，包括余额、交易历史记录和订单状态。然而，拥有只读权限的 API 密钥无法执行任何交易操作。此权限适用于数据分析、监控以及构建信息展示的应用程序。
交易权限 (Trade): 此权限级别授予 API 密钥执行买卖订单的权限。启用交易权限的应用程序可以提交限价单、市价单和其他类型的订单。为了使用交易权限，用户必须确保其账户已启用交易功能，并且已经理解风险。谨慎地使用交易权限，并实施适当的风险管理措施至关重要。
提现权限 (Withdraw): 此权限级别是最高级别的权限，允许 API 密钥从 Bithumb 账户发起资金提现。由于其固有的风险，提现权限通常需要额外的安全认证步骤，例如双因素身份验证 (2FA)。强烈建议仅在绝对必要时才启用提现权限，并采取一切可能的措施来保护拥有此权限的 API 密钥，例如，限制密钥的使用IP范围。

请务必妥善保管 API 密钥。不要将密钥泄露给任何人，也不要将密钥存储在不安全的地方。如果密钥泄露，恶意行为者可以使用你的密钥执行未经授权的操作，导致资金损失。

Bithumb API 的身份验证机制

Bithumb API 采用 HMAC-SHA512 (Hash-based Message Authentication Code with SHA512) 算法进行身份验证，确保交易安全。HMAC 是一种使用密钥对消息进行哈希运算以生成消息摘要的机制。该摘要同时依赖于消息内容和密钥，因此能有效验证消息的完整性和真实性，显著降低消息被篡改或伪造的风险。相比于简单的哈希算法，HMAC 具备更强的安全性，常用于 API 接口的安全验证。

在进行 Bithumb API 调用时，以下关键要素至关重要，缺一不可：

API Key: 您的 API 公钥，用于唯一标识您的 Bithumb 账户。请妥善保管您的 API Key，避免泄露。
Secret Key: 您的 API 私钥，用于生成请求签名，是验证身份的关键。Secret Key 务必严格保密，切勿以任何形式公开或分享。
Endpoint: API 请求的目标 URL 地址，指向 Bithumb 服务器提供的特定功能接口。例如，查询账户余额、下单交易等。
Parameters: API 请求所需的参数，这些参数根据不同的 API Endpoint 而有所不同。例如，交易对、数量、价格等。参数需要按照 API 文档的要求正确设置。
Nonce: 一个唯一的随机数或时间戳，主要用于防止重放攻击。重放攻击是指攻击者截获并重发合法的请求，从而造成重复交易或其他安全问题。Nonce 的唯一性确保每个请求只能被处理一次。

Bithumb API 身份验证的具体过程如下：

构建请求参数字符串: 将所有请求参数按照字母顺序进行升序排列。然后，使用 & 符号将排序后的参数名称和对应值连接成一个字符串。例如， param1=value1&param2=value2 。排序是为了确保签名的一致性。
添加 nonce 值: 在上一步生成的请求参数字符串的末尾，追加 &nonce= 。其中，代表当前的 Unix 时间戳，可以是秒级别或毫秒级别，具体取决于 Bithumb API 的要求。时间戳的精度需要与 API 文档一致。
生成签名: 使用您的 Secret Key 作为密钥，并使用 HMAC-SHA512 算法对包含排序后的参数和 nonce 的完整字符串进行哈希运算。这一步生成请求的数字签名，用于验证请求的合法性。将生成的哈希值转换为十六进制字符串，并将该字符串转换为大写形式，作为最终的签名。
添加请求头: 将 API Key、生成的签名和 nonce 添加到 HTTP 请求头中。通常，这些信息会被添加到诸如 Api-Key , Api-Sign 和 Api-Nonce 等自定义的 HTTP 请求头中。具体头部名称请参考 Bithumb API 文档。

使用 Python 实现 Bithumb API 加密

与 Bithumb API 交互时，安全性至关重要。API 密钥的加密和正确使用能够确保数据传输的完整性和安全性。以下是一个使用 Python 实现 Bithumb API 加密的示例代码，它展示了如何生成签名以进行身份验证：

为了与 Bithumb API 安全通信，你需要获取 API 密钥和密钥。这些密钥在你的 Bithumb 账户中生成和管理。密钥用于识别你的身份并授权你访问 API。请务必妥善保管你的 API 密钥，切勿泄露给他人。

以下是代码示例：


import hashlib
import hmac
import time
import urllib.parse
import requests

# 你的 API 密钥和密钥（替换为你的实际密钥）
api_key = "YOUR_API_KEY"
secret_key = "YOUR_SECRET_KEY"

# Bithumb API 的基本 URL
api_url = "https://api.bithumb.com"

def generate_signature(endpoint, params, secret_key):
    """
    生成 Bithumb API 请求的签名。

    Args:
        endpoint (str): API 端点（例如 "/info/account"）。
        params (dict): 请求参数。
        secret_key (str): 你的 Bithumb 密钥。

    Returns:
        str: 生成的签名。
    """
    # 将参数转换为 URL 编码的字符串
    param_string = urllib.parse.urlencode(params)

    # 将端点添加到参数字符串中
    data = endpoint + chr(0) + param_string

    # 使用 HMAC-SHA512 算法生成签名
    hashed = hmac.new(
        secret_key.encode('utf-8'),
        data.encode('utf-8'),
        hashlib.sha512
    )
    signature = hashed.hexdigest()

    return signature


def bithumb_api_request(endpoint, params):
    """
    向 Bithumb API 发送请求。

    Args:
        endpoint (str): API 端点（例如 "/info/account"）。
        params (dict): 请求参数。

    Returns:
        dict: API 响应的 JSON 数据。
    """
    # 获取当前时间戳（毫秒）
    nonce = str(int(time.time() * 1000))
    params['nonce'] = nonce

    # 生成签名
    signature = generate_signature(endpoint, params, secret_key)

    # 设置请求头
    headers = {
        "Api-Key": api_key,
        "Api-Sign": signature,
        "Api-Nonce": nonce
    }

    # 构建完整的 URL
    url = api_url + endpoint

    try:
        # 发送 POST 请求
        response = requests.post(url, headers=headers, data=params)
        response.raise_for_status()  # 检查是否有 HTTP 错误
        return response.()
    except requests.exceptions.RequestException as e:
        print(f"API 请求错误: {e}")
        return None

# 示例用法：获取账户信息
if __name__ == '__main__':
    endpoint = "/info/account"
    params = {
        "currency": "BTC"  # 可选：指定币种
    }

    account_info = bithumb_api_request(endpoint, params)

    if account_info:
        print("账户信息:")
        print(account_info)
    else:
        print("未能获取账户信息。")

代码详解：

导入必要的库： 代码首先导入了 hashlib （用于哈希计算）、 hmac （用于 HMAC）、 time （用于时间戳）、 urllib.parse （用于 URL 编码）和 requests （用于发送 HTTP 请求）等库。
密钥和 API URL： api_key 和 secret_key 变量存储你的 Bithumb API 密钥。 api_url 变量定义了 Bithumb API 的基本 URL。 请务必替换为你自己的真实密钥。
generate_signature 函数： 此函数负责生成 API 请求的签名。它接受 API 端点、请求参数和你的密钥作为输入。
1. 它使用 urllib.parse.urlencode() 将参数编码为 URL 编码的字符串。
2. 它将端点和编码后的参数字符串连接起来，中间用空字符分隔。
3. 它使用 hmac.new() 函数和 SHA512 算法基于密钥和数据计算 HMAC。
4. 它以十六进制字符串格式返回生成的签名。
bithumb_api_request 函数： 此函数发送实际的 API 请求。它接受 API 端点和请求参数作为输入。
1. 它首先通过将当前时间（以秒为单位）乘以 1000 来生成一个 nonce（一个唯一的随机数）。nonce 用于防止重放攻击。
2. 它调用 generate_signature() 函数来生成请求的签名。
3. 它创建一个包含 API 密钥、签名和 nonce 的请求头。
4. 它使用 requests.post() 函数向 API 端点发送 POST 请求，传递头和参数。
5. 它使用 response.raise_for_status() 检查响应状态码，如果发生错误则引发异常。
6. 它将响应解析为 JSON 并返回。
示例用法： if __name__ == '__main__': 代码块展示了如何使用这些函数来获取你的 Bithumb 账户信息。
1. 它定义了端点 ( /info/account ) 和参数 ( currency )。
2. 它调用 bithumb_api_request() 函数来发送请求。
3. 它打印返回的账户信息。

重要提示：

始终保护好你的 API 密钥。不要将其提交到公共存储库或与他人共享。
仔细阅读 Bithumb API 文档，了解可用的端点、参数和响应格式。
处理 API 响应中的错误。Bithumb API 返回详细的错误代码，可帮助你调试问题。
注意 API 的速率限制。如果发送过多请求，你的 IP 地址可能会被暂时阻止。

替换为你的 API Key 和 Secret Key

API KEY = "YOUR API KEY"
SECRET KEY = "YOUR SECRET KEY"

def bithumb api call(endpoint, params=None):
"""
调用 Bithumb API 的通用函数，封装了签名过程和请求处理。
该函数简化了与 Bithumb API 的交互，处理了身份验证和错误处理。
"""

Args:
endpoint: API 端点 (例如: /info/account)。指定要访问的 Bithumb API 的具体路径。
params: API 请求参数 (字典格式)。包含请求所需的额外数据，如交易类型、数量等。

Returns:
API 响应的 JSON 数据。如果请求成功，返回包含 API 返回数据的 Python 字典；如果请求失败，返回 None。

import time
import urllib.parse
import hmac
import hashlib
import requests

url = "https://api.bithumb.com" + endpoint

if params is None:
params = {}

# 添加 nonce
# nonce 是一个时间戳，用于防止重放攻击。
# 每次 API 调用都必须使用不同的 nonce 值。
params["nonce"] = str(int(time.time() * 1000))

# 排序参数并构建字符串
# Bithumb API 要求参数按照字母顺序排序并编码成字符串，用于生成签名。
sorted params = sorted(params.items())
encoded params = urllib.parse.urlencode(sorted_params)

# 生成签名
# 使用 HMAC-SHA512 算法，结合 Secret Key 和编码后的参数生成签名。
# 签名用于验证请求的合法性。
signature = hmac.new(
SECRET KEY.encode('utf-8'),
encoded params.encode('utf-8'),
hashlib.sha512
).hexdigest().upper()

headers = {
"Api-Key": API_KEY, # 你的 API Key，用于标识你的身份。
"Api-Sign": signature, # 签名，用于验证请求的完整性和合法性。
"Api-Nonce": params["nonce"], # nonce 值，用于防止重放攻击。
}

try:
# 使用 requests 库发送 POST 请求到 Bithumb API。
response = requests.post(url, headers=headers, data=params)
response.raise for status() # 检查 HTTP 状态码是否为 200，如果不是 200 则抛出异常。
return response.() # 将 API 响应的 JSON 数据解析成 Python 字典并返回。
except requests.exceptions.RequestException as e:
# 捕获 requests 库抛出的异常，例如网络错误、超时等。
print(f"API 请求失败: {e}")
return None

示例：获取账户信息

获取账户信息是与加密货币交易所API交互的常见操作，允许用户查询其账户余额、交易历史和订单状态。在Bithumb交易所，我们可以使用特定的API端点来实现此目的。以下代码展示了如何使用 bithumb_api_call 函数调用 /info/account API来获取指定币种的账户信息。

account_info = bithumb_api_call("/info/account", {"currency": "BTC"})

上述代码片段中， /info/account 是Bithumb API提供的账户信息查询端点。 {"currency": "BTC"} 部分是请求参数，指定了要查询的币种为比特币（BTC）。不同的交易所可能使用不同的参数名称，因此查阅Bithumb API文档以确认正确的参数至关重要。

bithumb_api_call 函数封装了与Bithumb API交互的底层细节，包括构建HTTP请求、签名请求（如果需要）以及处理响应。它接受API端点和请求参数作为输入，并返回包含账户信息的字典或JSON对象。

在成功调用API后，我们需要验证API调用是否成功并打印返回的账户信息。

if account_info: print(account_info)

如果 account_info 不为空（即API调用成功），则将账户信息打印到控制台。 account_info 通常包含账户余额、可用余额、锁定余额等详细信息。在实际应用中，应根据需要解析 account_info 并提取所需的数据，而不是直接打印到控制台。例如，可以提取可用BTC余额进行交易决策。

需要注意的是，在生产环境中，应妥善处理API密钥和访问权限，避免泄露和滥用。同时，应根据交易所的API使用条款限制请求频率，避免触发限流机制。交易所API通常有速率限制，短时间内请求过多会被暂时禁止访问。

示例：下单 (请谨慎操作，确保账户有足够资金)

order_params = {

"order_currency": "BTC",

"payment_currency": "KRW",

"type": "bid", # bid (买入), ask (卖出)

"price": "10000000", # 价格

"units": "0.001", # 数量

}

orderresult = bithumbapicall("/trade/place", orderparams)

if order_result:

print(order_result)

代码解释:

bithumb_api_call() 函数是对 Bithumb API 进行调用的核心封装，旨在简化和标准化API交互流程。它完整地涵盖了从准备请求参数、构建符合API规范的请求、生成必要的身份验证签名、通过HTTPS安全地发送请求到API服务器，以及接收并妥善处理API返回的响应数据等一系列关键步骤。这个函数的设计目标是隐藏底层复杂的实现细节，为开发者提供一个简洁易用的接口，使其能够专注于业务逻辑的实现，而无需过多关注API调用的具体过程。
urllib.parse.urlencode() 函数是Python标准库 urllib.parse 模块中的一个关键工具，其主要功能是将Python字典类型的参数数据转换为符合URL编码规范的字符串格式。在构建HTTP请求时，特别是POST请求，常常需要将请求参数以 key=value 的形式包含在请求体或URL中。 urlencode() 函数能够自动处理特殊字符的转义，确保参数能够被正确地传递到服务器端，避免因字符编码问题导致的请求失败或数据解析错误。例如，空格会被转换为 %20 ，从而保证了URL的有效性。
hmac.new() 函数源自Python的 hmac 模块，它是实现基于哈希的消息认证码（HMAC）算法的关键函数。在加密货币API调用中，HMAC常被用于生成请求的数字签名，以验证请求的真实性和完整性，防止中间人攻击和数据篡改。 hmac.new() 函数接受一个密钥（通常是API密钥）和一个消息（通常是请求参数的组合）作为输入，使用指定的哈希算法（如SHA512）计算出一个唯一的哈希值，该哈希值即为签名。这个签名随后会被附加到请求中，API服务器在收到请求后，使用相同的密钥和算法重新计算签名，并与请求中的签名进行比对，如果两者一致，则表明请求是合法的，未被篡改。
requests.post() 函数是Python中流行的HTTP客户端库 requests 提供的一个核心函数，专门用于发送HTTP POST请求。POST请求通常用于向服务器提交数据，例如创建新的资源或更新现有资源。 requests.post() 简化了发送POST请求的过程，允许开发者通过简单的函数调用指定请求的URL、请求头、请求体等参数。 requests 库会自动处理底层的HTTP连接和数据传输细节，并返回一个包含服务器响应的 Response 对象。通过 Response 对象，开发者可以访问响应的状态码、响应头、响应体等信息，从而进一步处理API返回的数据。
response.raise_for_status() 方法是 requests 库中 Response 对象的一个重要成员函数，用于检测HTTP响应的状态码是否表示成功。HTTP状态码是服务器向客户端返回的用于指示请求处理结果的三位数代码。如果状态码位于200-299范围内，表示请求成功。如果状态码表示错误（例如400 Bad Request, 404 Not Found, 500 Internal Server Error）， raise_for_status() 方法会抛出一个 HTTPError 异常，该异常包含了关于错误的详细信息。通过调用 raise_for_status() ，开发者可以快速发现并处理API调用中的错误，避免后续代码基于错误的数据进行处理，从而提高程序的健壮性和可靠性。

重要提示：

API 密钥替换： 在实际的程序部署和使用中，请务必将示例代码中的 YOUR_API_KEY 和 YOUR_SECRET_KEY 替换为您在 Bithumb 交易所申请的真实 API 密钥。API 密钥是访问 Bithumb 交易所 API 的身份凭证，不应泄露给他人，并妥善保管，避免造成资产损失。未正确配置 API 密钥会导致程序无法正常连接到 Bithumb 交易所的服务器。请仔细检查您所使用的 API 密钥是否拥有执行相关操作的权限（例如：交易、查询账户信息）。
交易风险提示： 示例代码中关于下单交易的部分已被注释，默认不执行。这是出于安全考虑，执行实际交易需要对市场风险有充分的认识和控制能力。在启用交易功能前，请务必仔细评估您的交易策略，并确保您的 Bithumb 账户拥有足够的资金。请充分了解买卖单的类型（限价单、市价单等）以及手续费规则。在高波动性的加密货币市场中，盲目交易可能导致严重的财务损失。强烈建议在模拟交易环境下进行充分的测试，熟悉交易流程后再进行真实交易。
官方文档参考： 为了更全面地了解 Bithumb API 的所有功能和参数，建议您详细阅读 Bithumb 官方提供的 API 文档。文档中包含了所有可用 API 端点的详细说明、请求参数、响应格式以及错误代码等信息。熟悉 API 文档有助于您更高效、更准确地使用 Bithumb API，并避免因参数错误或请求格式不正确而导致的问题。Bithumb API 文档通常会定期更新，请关注最新版本，以获取最新的 API 信息。

错误处理与调试

在Bithumb API交易平台开发过程中，遭遇错误是不可避免的。为了确保应用程序的稳定性和可靠性，必须对潜在的错误进行有效处理。Bithumb API 以 JSON 格式返回错误信息，开发者应充分利用这些信息进行调试和修复。

以下列举了一些在使用 Bithumb API 时常见的错误类型，并提供相应的解释：

Invalid API Key（无效 API 密钥）： 表明提供的 API 密钥不正确或已过期。请仔细检查 API 密钥是否正确复制，并确认其是否已激活。API密钥区分大小写，务必保持准确。
Invalid Signature（无效签名）： 指请求的签名与服务器计算的签名不匹配。这通常是由于签名算法实现错误或使用了不正确的密钥导致的。请仔细检查签名算法的实现，确保所有参数均已正确排序和编码。
Invalid Parameter（无效参数）： 指请求中包含无效或格式不正确的参数。例如，传递了超出范围的数值、使用了不支持的货币对，或者缺少了必需的参数。仔细阅读 API 文档，确认所有参数的类型、范围和格式均正确。
Insufficient Funds（余额不足）： 表示账户中没有足够的资金来执行请求的操作，例如下单或提现。在执行交易前，应先查询账户余额，确保有足够的资金。
Too Many Requests（请求过多）： 指请求频率超过了 API 的限制。为了防止滥用，Bithumb API 对每个 IP 地址或 API 密钥的请求频率都有限制。如果遇到此错误，应降低请求频率，或采用适当的缓存机制。

在应用程序代码中，必须对 API 返回的错误信息进行妥善处理。通过捕获并解析 JSON 格式的错误响应，可以及时识别并解决问题。建议使用 try-except 块来处理 API 调用，并在发生错误时记录详细的错误信息，以便后续分析。

在调试 Bithumb API 相关的代码时，可以采用以下策略：

打印 API 请求的 URL 和参数： 在发送 API 请求之前，将完整的 URL 和所有参数打印出来。这有助于检查参数是否正确编码，以及请求是否发送到了正确的端点。使用日志记录工具可以方便地查看历史请求。
打印 API 响应的 JSON 数据： 接收到 API 响应后，立即将 JSON 数据打印出来。这将显示 API 返回的任何错误信息，以及请求是否成功。分析响应数据可以帮助定位问题。
使用网络抓包工具（例如 Wireshark 或 Fiddler）抓取 API 请求和响应： 网络抓包工具可以捕获应用程序与 Bithumb 服务器之间的所有网络流量。通过分析抓取到的数据包，可以深入了解 API 请求和响应的详细信息，例如 HTTP 头部、请求体和响应体。这对于排查复杂的网络问题非常有用。

安全注意事项

不要将 API 密钥硬编码到代码中。 将 API 密钥硬编码到应用程序代码中会使其暴露于潜在的安全风险，例如代码审查、反编译或意外泄露到版本控制系统。强烈建议将 API 密钥存储在环境变量、配置文件或安全的密钥管理系统中，并通过配置进行加载。环境变量可以根据不同的部署环境进行设置，避免了密钥直接嵌入代码。配置文件应存储在应用程序代码库之外，并使用适当的访问控制进行保护。
定期更换 API 密钥。 定期轮换 API 密钥是降低密钥泄露风险的关键措施。即使密钥没有被泄露，定期更换也能限制潜在攻击者利用已泄露密钥的窗口期。建议根据安全策略和风险评估，制定明确的密钥轮换周期。轮换密钥后，确保更新所有使用该密钥的应用程序和配置，并妥善保管旧密钥一段时间，以便在出现问题时进行回滚。
限制 API 密钥的访问权限。 API 密钥应遵循最小权限原则，只授予其完成特定任务所需的最低权限。避免授予 API 密钥过多的权限，因为一旦密钥泄露，攻击者可以利用这些权限执行未经授权的操作。许多 API 提供精细的权限控制机制，允许您限制密钥可以访问的特定资源或执行的特定操作。仔细审查每个 API 密钥的使用场景，并为其分配最合适的权限组合。
监控 API 使用情况。 密切监控 API 的使用情况，包括请求量、错误率、响应时间等指标，可以帮助您及时发现异常行为。例如，请求量突然激增、错误率异常升高或来自未知 IP 地址的请求都可能是安全事件的信号。设置监控警报，以便在检测到异常行为时及时通知安全团队。定期审查 API 使用日志，查找潜在的安全漏洞或恶意活动。
使用安全的网络连接 (HTTPS)。 使用 HTTPS 加密客户端和服务器之间的所有通信，防止中间人攻击窃取敏感数据，例如 API 密钥和用户数据。HTTPS 通过 SSL/TLS 协议对数据进行加密，确保数据在传输过程中的机密性和完整性。确保您的应用程序和服务器都配置为强制使用 HTTPS 连接，并避免使用不安全的 HTTP 连接。
防止跨站脚本攻击 (XSS) 和 SQL 注入攻击。 XSS 攻击允许攻击者在受害者的浏览器中执行恶意脚本，从而窃取敏感数据或篡改网站内容。SQL 注入攻击允许攻击者通过构造恶意的 SQL 查询来访问或修改数据库中的数据。采取适当的安全措施来防止这些攻击，例如对用户输入进行验证和转义、使用参数化查询或 ORM 框架、以及实施内容安全策略 (CSP)。定期进行安全漏洞扫描和渗透测试，以识别和修复潜在的安全漏洞。

深入理解 Nonce 机制

Nonce (Number used once)，即“仅使用一次的数字”，是加密货币和信息安全领域一种关键的安全机制，主要用于抵御重放攻击。重放攻击指的是攻击者截取并重新发送合法的已认证数据传输，以此来欺骗系统执行未经授权的操作，例如重复支付或未经授权的访问。

Nonce 的核心作用是确保每个特定的 API 请求或交易都是独一无二的。通过引入 Nonce，系统可以验证接收到的请求是否为全新的，而非之前已经处理过的请求的重放。例如，Bithumb 等交易所通常要求每个 API 请求包含一个唯一的 Nonce 值，该值通常表示为当前的 Unix 时间戳（精确到毫秒级）。这种机制使得即使攻击者成功截获了包含 API 密钥和签名的请求，也无法成功地重新发送该请求，因为交易所会识别出 Nonce 值已过期或已被使用，从而拒绝执行重复的请求。

在使用 Nonce 时，必须仔细考虑以下几个关键因素，以确保其发挥最佳的安全防护作用：

Nonce 值必须是唯一的且单调递增： Nonce 值必须是唯一的，并且通常会随着时间的推移而单调递增。这意味着每个新请求的 Nonce 值都应该大于前一个请求的 Nonce 值。这种递增特性有助于防止攻击者使用较早的 Nonce 值进行重放攻击。
Nonce 值应当具备足够的随机性或不可预测性： Nonce 值的设计应避免可预测性，以防止攻击者预测未来的 Nonce 值。可以使用伪随机数生成器 (PRNG) 或加密安全的随机数生成器 (CSPRNG) 来生成 Nonce 值，确保其具有足够的随机性。理想情况下，Nonce 的生成应结合时间戳和随机数，以进一步增强其不可预测性。
交易所或其他系统维护已使用 Nonce 的记录： 为了有效地防止重放攻击，交易所或使用 Nonce 机制的系统需要维护一个已使用 Nonce 值的记录。当接收到一个新的请求时，系统会首先检查该请求的 Nonce 值是否已存在于记录中。如果 Nonce 值已存在，则表明该请求是重放攻击，系统会拒绝执行该请求。记录已使用 Nonce 值的范围或策略（例如仅记录最近一段时间内的 Nonce 值）是实现 Nonce 机制的重要组成部分。