WebSocket 需要每 3 分钟发一次 pong 帧,否则连接会被服务端关闭。客户端实现时一定要加心跳保活与自动重连。
六、安全最佳实践
第一,Secret Key 不进代码仓库。用环境变量或专门的 secret manager 管理。
第二,下单 Key 与读取 Key 分开。监控用的 Key 只给读权限,下单 Key 单独申请并绑严格 IP。
第三,开 API 操作日志监控。任何异常的下单、撤单、提币都触发告警邮件。
第四,谨慎使用第三方 SDK。建议用 Binance 官方 SDK 或开源社区评分高的库,避免某些钓鱼 SDK 偷 Key。
第五,定期 rotate Key。每 30 天换一次,所有依赖该 Key 的服务平滑切换。