一方 OAuth
一方 OAuth 通常用于账户主体自己控制的应用,例如机构自有系统、自用交易系统或公司自有工具。
它的目标不是让用户把密码交给程序,而是让程序用 IBKR 批准的 OAuth 凭据访问 Web API。
| 场景 | 是否适合 |
|---|---|
| 自己服务器调用自己的账户 | 适合。 |
| 公司自有系统给交易员使用 | 适合,但需要权限和审计。 |
| 面向外部客户授权 | 更接近三方 OAuth。 |
| 个人开发初期 | 不建议,先用 Gateway。 |
| 材料 | 中文说明 |
|---|---|
| IBKR 批准的应用配置 | OAuth 接入通常需要 IBKR 审核。 |
| Consumer Key | 应用标识。 |
| 私钥或签名材料 | 用于生成 OAuth 签名。 |
| 回调地址 | 授权完成后接收 verifier。 |
| 服务器时间同步 | OAuth 签名依赖时间戳。 |
| 项目 | 建议 |
|---|---|
| 私钥 | 只放在服务器,不进入浏览器。 |
| Access Token | 加密存储,按用户或账户隔离。 |
| 日志 | 不输出 Authorization header。 |
| 回调地址 | 使用 HTTPS,并校验 state 或等价防护。 |
一方 OAuth 适合正式化系统,不适合作为第一天学习 Web API 的入口。