访问令牌
Access Token 是用户授权完成后应用获得的访问凭据。调用 Web API 时,应用需要用 Access Token 和对应 secret 生成签名请求。
获取 Access Token
Section titled “获取 Access Token”流程:
Request Token + oauth_verifier -> 签名请求 Access Token 接口 -> 返回 oauth_token 与 oauth_token_secret示例结构:
access_token = "USER_ACCESS_TOKEN"access_token_secret = "USER_ACCESS_TOKEN_SECRET"这两个值都属于敏感信息。
| 项目 | 建议 |
|---|---|
| 数据库存储 | 加密保存 token 和 secret。 |
| 用户隔离 | 每个用户独立保存,不共用。 |
| 访问控制 | 只有后端服务能读取。 |
| 轮换和撤销 | 支持删除 token,用户取消授权后立即停用。 |
Access Token 不等于永远可用。它可能因为用户撤销授权、IBKR 风控、应用配置变化或账户状态变化而失效。
程序调用 API 时要能处理认证失败,并引导用户重新授权。