API密钥的权限到底该开哪些，哪些不能随便给？

如果您的媒体涉及数字货币相关业务，那么API密钥权限的划分一定要慎重。尽量做到只读、查询行情等最低权限的给予，千万不要给予转账、提币、下单等操作权限，因为这样一旦密钥泄露，后果将不堪设想。

有些平台的API密钥是默认全权限的，这很危险，一定要根据申请方需要的用途进行设置，千万不要图省事，把权限一股脑的全给对方，一旦出现任何问题，追悔莫及。

如今黑客的技术手段层出不穷，一定要保护好自己的API密钥，同时要定期更换密钥，不要长期不用密钥也挂着。安全这事儿，宁可麻烦一点也不要马虎。

API密钥权限：根据使用场景进行控制，如果为内部系统使用，可以开启读写权限，但不要包含资金相关权限；如果为外部第三方接入，如数据查询等，则只给只读权限即可；如果涉及交易/提现/转账等资金敏感性权限，请务必谨慎授权；建议使用独立子账户，并尽量以最小权限原则进行授权，且使用完毕后立即关闭；记住一句话：没有用到的权限坚决不开！安全第一！

API密钥权限根据使用场景而定，如果是数字货币网站的话，涉及到资金操作的权限，如下单、提币、修改密码等，是绝不能随便给第三方的，只能给到自己的系统或者高度信任的服务，而只读权限，如查看余额、行情等就可以给第三方或合作伙伴。对于核心权限必须严格控制，并且最好是采用多账户的方式进行管理，防止一次性全部开启权限，发生问题无法追责。