Gemini API交易指南:告别加密货币开发难题?
Gemini API 调用说明
本文档旨在为希望使用 Gemini API 进行加密货币交易、数据分析或其他相关应用开发的开发者提供详细的调用指南。
身份验证
访问 Gemini API 需要进行严格的身份验证,以确保数据安全和用户权限管理。要成功访问 API,您需要生成并妥善保管 API 密钥 (API Key) 和密钥 (API Secret)。
API 密钥 (API Key) 相当于您的公开用户名,用于标识您的应用程序或账户,以便 Gemini API 识别请求来源。密钥 (API Secret) 则类似于您的密码,用于对请求进行签名,验证请求的真实性和完整性,防止未经授权的访问或篡改。
请务必将 API 密钥和密钥视为高度敏感信息,如同银行密码一般。您应该将它们安全地存储在服务器端或专门的密钥管理系统中,避免直接暴露在客户端代码、配置文件或公共代码仓库中。切勿与他人共享您的密钥,否则可能导致账户被盗用或数据泄露。
如果您的密钥意外泄露,请立即通过 Gemini 官方渠道撤销旧密钥并生成新的密钥对。同时,检查您的 API 使用情况,确认是否存在未经授权的访问行为,并采取相应的安全措施。
在使用 Gemini API 时,您需要将 API 密钥包含在每个请求的头部(通常是
X-API-Key
)中,并使用密钥对请求进行签名。具体的签名算法和流程请参考 Gemini API 的官方文档。不同的编程语言和开发框架通常提供了相应的库或工具,可以简化 API 签名和请求发送的过程。
获取 API 密钥和密钥:
- 登录你的 Gemini 账户: 你需要访问 Gemini 交易所的官方网站并使用你的用户名和密码登录到你的账户。 如果你还没有账户,则需要先注册一个。
- 导航至 API 设置页面: 成功登录后,在你的账户设置或个人资料页面中寻找 "API"、"API 设置" 或类似的选项。 通常,这个选项位于账户管理或安全设置部分。 找到后,点击进入 API 设置页面。
-
创建新的 API 密钥:
在 API 设置页面,你将看到一个创建新 API 密钥的选项。 点击相应的按钮(例如 "创建 API 密钥" 或 "+ 创建新密钥")开始创建过程。
权限范围的选择: 创建 API 密钥的过程中,你需要仔细选择与你的应用程序或脚本的需求相符的权限范围。 Gemini 提供多种权限,例如查看账户余额、交易下单、获取市场数据等。 请务必仅授予你的 API 密钥所需的最小权限集,以降低潜在的安全风险。 错误配置的权限可能导致未经授权的访问或操作。 常见的权限包括:- 读取账户信息: 允许 API 密钥访问你的账户余额、交易历史等信息。
- 下单交易: 允许 API 密钥代表你进行买入和卖出操作。 请谨慎授予此权限,并妥善保管你的 API 密钥。
- 访问市场数据: 允许 API 密钥获取 Gemini 交易所的实时和历史市场数据,例如价格、成交量等。
-
安全保存 API 密钥和密钥:
API 密钥创建完成后,系统会生成一个 API 密钥(Public Key)和一个密钥(Secret Key)。
这是你唯一一次看到密钥的机会。
请务必将 API 密钥和密钥安全地存储在你的本地计算机、服务器或密码管理器中。 避免将它们直接硬编码到你的代码中,这是一种非常不安全的做法。 考虑使用环境变量或配置文件来存储这些敏感信息。
密钥丢失后的处理: 如果你丢失了密钥,你将需要删除现有的 API 密钥并创建一个新的密钥对。 因此,请务必妥善保管你的 API 密钥和密钥。 建议定期轮换你的 API 密钥,以提高安全性。
使用 API 密钥和密钥进行身份验证:
为了安全地访问 Gemini 交易所的 API,你需要在每次 API 调用中提供 API 密钥和密钥。 这些密钥用于验证你的身份并授权你访问受保护的资源。 有两种主要方法可以传递这些凭据:
-
通过 HTTP Header 传递:
这种方法利用 HTTP 请求头来传递身份验证信息。你需要设置以下 Header:
-
X-GEMINI-APIKEY: 将你的 API 密钥作为此 Header 的值发送。 API 密钥用于识别你的应用程序或账户。 -
X-GEMINI-APISECRET: 将你的 API 密钥作为此 Header 的值发送。 API 密钥必须严格保密。 -
X-GEMINI-PAYLOAD: 发送 payload 的 HMAC SHA384 签名。 Payload 通常是一个 JSON 对象,包含了你 API 请求的具体参数。使用你的 API 密钥对 payload 进行签名,以确保数据的完整性和真实性。签名过程通常涉及使用 HMAC SHA384 算法。 -
X-GEMINI-NONCE: Nonce(一次性随机数)是一个单调递增的整数,用于防止重放攻击。 每次 API 调用都必须使用一个唯一的 nonce 值。确保 nonce 值递增,以确保服务器能够识别出重复的请求。
示例 Header 设置:
X-GEMINI-APIKEY: YOUR_API_KEY X-GEMINI-APISECRET: YOUR_API_SECRET X-GEMINI-PAYLOAD: HMAC_SHA384(payload, YOUR_API_SECRET) X-GEMINI-NONCE: NONCE_VALUE -
-
将凭据包含在请求正文 (payload) 中:
除了使用 HTTP Header,你还可以将 API 密钥、密钥、payload 和 nonce 作为 JSON 对象的一部分包含在请求正文中。
这通常用于某些特定的 API 端点,或者为了简化某些客户端的实现。
示例 JSON 请求正文:
{ "request": "/v1/balances", "nonce": 123456789, "key": "YOUR_API_KEY", "signature": "HMAC_SHA384(payload, YOUR_API_SECRET)" }请注意,在使用这种方法时, "request" 字段应该包含你要调用的 API 端点。 "nonce" 字段包含了单调递增的随机数。 "key" 字段是你的 API 密钥,"signature" 字段是使用你的 API 密钥对整个 payload 进行 HMAC SHA384 签名后的结果。
重要提示:
-
nonce(随机数)值至关重要,它必须是一个单调递增的整数。 强烈建议采用递增策略,例如使用时间戳(Unix 时间,毫秒级精度),确保每个请求的nonce值都大于前一个请求。 这样做能有效防止重放攻击,避免恶意攻击者截获并重新提交您的请求,从而保障账户安全和数据完整性。 重复使用或递减的nonce值会导致 API 调用失败。 -
signature(签名)是对请求正文的 HMAC SHA384 签名,它利用您的私钥进行加密计算,确保请求在传输过程中未被篡改。 正确生成签名至关重要,签名错误会导致 API 调用被拒绝。 签名过程通常包括:- 将请求正文(必须是精确的 JSON 格式字符串)作为输入。
- 使用您的私钥作为密钥,对请求正文进行 HMAC SHA384 散列运算。
- 将生成的十六进制哈希值作为签名。
- 请求正文必须严格遵循 JSON 格式,并且应包含所有必需的参数。 缺少参数或 JSON 格式错误将导致 API 调用失败。 确保 JSON 对象的键值对使用双引号括起来,遵循标准的 JSON 语法。 在发送请求之前,强烈建议使用 JSON 校验工具检查 JSON 数据的有效性,以尽早发现潜在的错误。 请仔细阅读 API 文档,了解每个 API 端点所需的具体参数及其数据类型。 不支持的参数或错误的数据类型也可能导致 API 调用失败。
API 端点
Gemini API 提供了一系列精心设计的端点,允许开发者以编程方式访问其交易所的各项功能,从而实现自动化交易策略、数据分析以及更高级的应用集成。这些端点涵盖了从市场数据到账户管理的各种需求,确保了开发者能够构建强大且高效的加密货币应用程序。
- 公共数据: 通过公共 API 端点,可以获取实时的市场数据,例如最新的交易价格、24 小时交易量、历史交易数据和订单簿深度。这些数据对于市场分析、算法交易和构建信息聚合平台至关重要。
- 账户信息: 通过认证后的 API 端点,用户可以安全地查询其账户余额,包括可用余额和已冻结余额,以及详细的交易历史记录和当前订单状态。这些信息对于账户管理、风险控制和审计目的至关重要。
- 交易: API 提供了强大的交易功能,允许用户通过程序化方式下单、取消订单和修改现有订单。支持多种订单类型,如市价单、限价单和止损单,满足不同的交易策略需求。
- 存款和取款: API 允许用户通过编程方式发起加密货币的存款和取款请求,从而实现自动化资金管理。需要注意的是,为了安全起见,这些操作通常需要额外的身份验证步骤。
以下是一些常用的 API 端点,并附带更详细的说明:
-
/v1/pubticker/{symbol}: 用于获取指定交易对(例如 BTCUSD、ETHBTC 等)的最新市场数据快照。返回的数据包括最高价、最低价、最新成交价、成交量以及时间戳等关键信息。例如,使用/v1/pubticker/btcusd可以获取比特币与美元交易对的实时价格和其他市场指标。 -
/v1/order/status: 查询指定订单的当前状态,需要提供订单的唯一 ID。返回的信息包括订单类型、订单价格、订单数量、已成交数量、订单状态(例如 pending、active、partially_filled、filled、cancelled)以及创建时间等。 -
/v1/orders: 获取当前账户所有活跃订单的列表。返回的信息与/v1/order/status端点类似,但包含多个订单的信息。需要有效的 API 密钥和签名进行身份验证。 -
/v1/balances: 获取账户中所有币种的余额信息,包括可用余额、已冻结余额以及总余额。需要有效的 API 密钥和签名进行身份验证,以确保账户安全。 -
/v1/mytrades: 检索账户的交易历史记录。可以指定时间范围、交易对以及其他过滤条件。返回的信息包括交易价格、交易数量、交易费用、交易时间以及交易类型(买入或卖出)。 -
/v1/neworder: 用于提交新的订单。需要提供交易对、订单类型(例如 limit、market)、订单数量、订单价格(对于限价单)以及客户端订单 ID 等参数。为了安全起见,必须使用有效的 API 密钥和签名对请求进行身份验证。
请求格式
Gemini API 采用 RESTful 架构,通过标准 HTTP 方法与服务器进行交互。所有 API 调用本质上都是 HTTP 请求,这意味着你可以利用各种编程语言和工具来访问 Gemini 的服务。
-
请求方法:
为了与 RESTful 规范保持一致,不同的操作使用不同的 HTTP 方法。
GET方法主要用于检索信息,例如查询账户余额、获取市场数据等。使用GET请求时,参数通常通过 URL 查询字符串传递。与之相对,POST方法用于发送数据到服务器,通常用于创建、更新或执行特定操作,如下单交易。 使用POST请求时,数据被包含在请求正文中。 -
请求头:
HTTP 请求头包含有关请求的元数据。在与 Gemini API 交互时,必须包含
Content-Type: application/头,明确告知服务器请求正文的内容类型为 JSON。缺少此头部可能导致服务器无法正确解析请求,从而导致错误。 其他可能需要包含的请求头包括身份验证信息(例如 API 密钥)以及内容长度等。 -
请求正文:
对于需要提交数据的
POST请求,请求正文必须采用 JSON (JavaScript Object Notation) 格式。JSON 是一种轻量级的数据交换格式,易于阅读和编写,并且易于被机器解析和生成。请求正文中需要包含所有必需的参数,这些参数的具体格式和要求取决于你所调用的 API 接口。在构造 JSON 请求正文时,务必确保参数名称和值符合 API 文档的规定,否则可能会导致请求失败。 请注意,某些 API 接口可能还要求在请求正文中包含数字签名或其他安全措施,以确保请求的完整性和安全性。
响应格式
Gemini API 返回 JSON (JavaScript Object Notation) 格式的响应。JSON 是一种轻量级的数据交换格式,易于人类阅读和编写,同时也易于机器解析和生成。响应中包含关键信息,用于指示 API 调用的结果和返回的数据。
-
状态码:
指示 API 调用是否成功。状态码是 HTTP 状态码,遵循标准的 HTTP 协议。
200 OK表示 API 调用成功,服务器已成功处理请求并返回数据。其他状态码(例如400 Bad Request,401 Unauthorized,403 Forbidden,404 Not Found,500 Internal Server Error等)表示 API 调用失败或服务器遇到了问题。状态码是调试 API 集成的重要信息来源。 - 响应正文: 包含 API 调用返回的数据。数据的格式取决于所调用的 API 端点。例如,如果调用的是获取某个加密货币价格的 API 端点,响应正文中可能包含该加密货币的价格、交易量、时间戳等信息。响应正文通常是一个 JSON 对象,包含多个键值对。理解不同 API 端点返回的响应正文结构对于正确使用 API 至关重要。
错误处理
与加密货币相关的 API 调用并非总是成功。当 API 调用失败时,服务器会返回一个错误响应,其中包含了错误的关键信息,帮助开发者诊断和解决问题。 开发者必须仔细处理这些错误响应,确保应用程序的稳定性和可靠性。错误响应通常包含以下详细信息:
- 状态码 (Status Code): 这是一个标准 HTTP 状态码,用数字表示错误的类型。不同的状态码代表了不同的错误类别,例如客户端错误、服务器错误等。
- 错误消息 (Error Message): 这是一个人类可读的文本信息,提供了关于错误的更详细描述。错误消息可以帮助开发者了解错误的具体原因,例如缺少参数、参数格式不正确等。
正确处理 API 错误响应至关重要,需要采取适当的措施来诊断并解决问题。以下是加密货币 API 中常见的错误类型及其处理方法:
-
400 Bad Request (错误请求):
此错误表明请求格式存在问题。通常,这意味着客户端发送的请求包含了无效的数据或格式不正确。开发者应:
- 验证请求正文: 仔细检查请求正文是否包含所有必需的参数。
- 检查参数格式: 确保参数的格式与 API 文档中规定的格式一致(例如,日期格式、数字范围等)。
- 编码问题: 确保请求正文的编码正确,例如使用 UTF-8 编码。
-
401 Unauthorized (未授权):
此错误表示客户端未通过身份验证,无法访问受保护的资源。这意味着提供的身份验证凭据无效。开发者应:
- 检查 API 密钥: 确保使用的 API 密钥是有效的。
- 密钥权限: 确认密钥有权访问所请求的资源。某些 API 密钥可能仅限于访问特定的端点或功能。
- 正确的认证方法: 验证是否使用了正确的身份验证方法(例如,使用 Authorization Header 发送 API 密钥)。
-
403 Forbidden (禁止访问):
此错误表明客户端已经通过身份验证,但没有权限访问请求的资源。这可能是由于权限不足或账户限制。开发者应:
- 检查 API 密钥权限: 确认 API 密钥具有访问特定资源的权限。
- 账户级别限制: 检查账户是否存在任何限制,例如每日请求配额或访问特定市场的权限。
- 服务条款: 确认是否违反了 API 的服务条款,例如滥用 API 或尝试访问未经授权的数据。
-
404 Not Found (未找到):
此错误表示服务器无法找到请求的资源。这通常是由于使用了错误的 API 端点或请求了不存在的资源。开发者应:
- 检查 API 端点: 仔细检查 API 端点的拼写和格式是否正确。
- 资源是否存在: 确认请求的资源是否存在,例如检查交易 ID 或市场代码是否有效。
- API 版本: 确保正在使用正确的 API 版本。
-
429 Too Many Requests (请求过多):
此错误表示客户端在短时间内发送了过多的请求,超过了 API 的速率限制。开发者应:
- 降低请求频率: 实施速率限制策略,例如使用延迟或队列来控制请求频率。
- 使用缓存: 尽可能使用缓存来减少对 API 的请求次数。
- 了解速率限制: 仔细阅读 API 文档,了解具体的速率限制规则。
-
500 Internal Server Error (内部服务器错误):
此错误表示服务器在处理请求时遇到了意外错误。这通常是服务器端的问题,客户端无法直接解决。开发者应:
- 稍后重试: 通常情况下,服务器内部错误是临时性的,稍后重试可能会成功。
- 联系支持: 如果错误持续存在,请联系 API 提供商的技术支持团队。
- 检查 API 状态: 检查 API 提供商的状态页面,了解是否存在已知的问题。
代码示例 (Python)
以下是一个使用 Python 调用 Gemini API 获取账户余额的示例。 该脚本演示了如何构造请求、生成签名并处理响应。 务必妥善保管你的 API 密钥和私钥。
为了安全起见,请勿将 API 密钥硬编码到脚本中。 建议使用环境变量或配置文件来存储和访问 API 密钥。
import requests
import hashlib
import hmac
import
import time
import os # 导入os模块,用于访问环境变量
# 从环境变量中获取 API 密钥和私钥
api_key = os.environ.get("GEMINI_API_KEY")
api_secret = os.environ.get("GEMINI_API_SECRET")
# 确保环境变量已设置
if not api_key or not api_secret:
print("请设置 GEMINI_API_KEY 和 GEMINI_API_SECRET 环境变量")
exit()
def get_balances():
"""
调用 Gemini API 获取账户余额。
Returns:
list: 包含账户余额信息的列表,如果请求失败则返回 None。
"""
endpoint = "/v1/balances"
nonce = int(time.time() * 1000) # 使用毫秒级时间戳作为 nonce,防止重放攻击
payload = {
"request": endpoint,
"nonce": nonce
}
encoded_payload = .dumps(payload).encode('utf-8')
# 使用 HMAC-SHA384 算法生成签名
signature = hmac.new(api_secret.encode('utf-8'), encoded_payload, hashlib.sha384).hexdigest()
url = "https://api.gemini.com" + endpoint
headers = {
'Content-Type': 'application/', # 明确指定JSON
'X-GEMINI-APIKEY': api_key,
'X-GEMINI-PAYLOAD': encoded_payload.decode('utf-8'),
'X-GEMINI-SIGNATURE': signature
}
try:
response = requests.get(url, headers=headers, timeout=10) # 添加超时时间,防止请求卡死
response.raise_for_status() # 检查 HTTP 状态码,如果不是 200 则抛出异常
return response.()
except requests.exceptions.RequestException as e:
print(f"Error: {e}")
if response is not None: # 避免访问未定义的变量
print(f"Response status code: {response.status_code}")
print(f"Response text: {response.text}")
return None
if __name__ == "__main__":
balances = get_balances()
if balances:
print("Account Balances:")
for balance in balances:
print(f"{balance['currency']}: {balance['amount']}")
else:
print("Failed to retrieve account balances.")
代码解释:
-
import os: 导入os模块,以便从环境变量中读取 API 密钥。 -
os.environ.get("GEMINI_API_KEY")和os.environ.get("GEMINI_API_SECRET"): 使用环境变量获取 API 密钥,而不是直接硬编码。 -
timeout=10: 设置 requests 超时时间为10秒,防止因网络问题导致程序卡死。 -
response.raise_for_status(): 用于检查HTTP响应状态码。如果状态码指示一个错误(例如400,404,500),这个方法会抛出一个HTTPError异常。如果请求成功(状态码在200-399范围内),则不会抛出任何异常。 -
application/:在 headers 中明确指定 Content-Type 为application/。 -
异常处理: 使用
try...except块来捕获请求期间可能发生的异常,例如网络错误。 - 注释:添加了更详细的注释来解释代码的功能。
安全提示:
- 切勿将 API 密钥提交到版本控制系统 (例如 Git)。
- 使用环境变量或密钥管理系统安全地存储 API 密钥。
- 定期轮换 API 密钥。
说明:
-
请务必将
YOUR_API_KEY和YOUR_API_SECRET替换为你从交易所或平台获得的实际 API 密钥和密钥。 妥善保管你的 API 密钥和密钥,避免泄露,防止未经授权的访问和潜在的资金损失。 -
此示例使用流行的 Python
requests库发送 HTTP 请求。 你需要在执行此代码之前安装requests库。 可以使用 pip 包管理器通过运行pip install requests命令进行安装。 - 此示例清晰地演示了如何通过在 HTTP 请求头中传递 API 密钥和密钥来进行身份验证。 这种身份验证方法在加密货币 API 中非常常见,用于验证请求的来源,并允许你访问受保护的资源。 具体来说,'X-MBX-APIKEY' Header通常被币安等交易所用于API认证。
安全最佳实践
- 保护 API 密钥和密钥: 将 API 密钥和私钥视为高度敏感信息。使用安全的密钥管理系统(KMS)或硬件安全模块(HSM)进行存储,避免直接硬编码到代码中或存储在配置文件中。绝不要与他人共享这些凭证,包括开发者、系统管理员,以及任何第三方服务。如果密钥泄露,应立即撤销并重新生成。定期审计密钥的使用情况,确保没有未经授权的访问。
- 使用 HTTPS: 始终使用 HTTPS(TLS/SSL)协议进行 API 调用,确保数据在客户端和服务器之间的传输过程中加密。这可以防止中间人攻击,例如窃听和数据篡改。确保证书有效,并定期更新。使用强制 HTTPS 的服务器端配置,拒绝任何通过 HTTP 发起的请求。
- 限制 API 密钥权限: 实施最小权限原则。仅授予 API 密钥访问特定资源和执行特定操作所需的最低权限。避免授予管理员权限或广泛的访问权限。使用细粒度的访问控制机制,例如基于角色的访问控制(RBAC),来精确控制每个密钥的权限范围。定期审查和更新密钥权限,以适应不断变化的业务需求。
- 监控 API 使用情况: 实施全面的 API 使用监控系统,跟踪请求数量、响应时间、错误率等关键指标。设置警报,以便在检测到异常活动时立即通知安全团队。监控 API 日志,查找潜在的安全威胁,例如暴力破解尝试、SQL 注入攻击和跨站脚本攻击(XSS)。使用安全信息和事件管理(SIEM)系统集中管理和分析 API 日志数据。
- 定期轮换 API 密钥: 定期轮换 API 密钥,降低密钥泄露带来的风险。建议根据安全策略设置轮换周期,例如每 30 天、60 天或 90 天轮换一次。自动化密钥轮换过程,以减少人工干预和潜在错误。在轮换密钥之前,确保新的密钥已正确配置,并且应用程序可以正常使用。
- 实施速率限制: 实施速率限制,防止 API 被滥用或遭受拒绝服务(DoS)攻击。限制每个 IP 地址、用户或 API 密钥在特定时间段内可以发出的请求数量。使用自适应速率限制算法,根据 API 的负载动态调整限制。提供清晰的速率限制策略文档,并通知用户有关限制。
- 使用防火墙: 使用 Web 应用程序防火墙(WAF)保护你的服务器和 API 免受恶意攻击。配置防火墙规则,以阻止常见的 Web 攻击,例如 SQL 注入、跨站脚本(XSS)和跨站请求伪造(CSRF)。定期更新防火墙规则,以应对新的威胁。考虑使用云防火墙服务,提供自动化的安全防护。可以使用网络防火墙限制对 API 服务器的网络访问,只允许来自已知和可信 IP 地址的流量。
常见问题解答
-
API 密钥丢失了怎么办?
如果您的 Gemini API 密钥丢失,不用担心,您可以采取以下步骤恢复访问权限:
- 登录您的 Gemini 账户。
- 导航到 API 管理页面,通常位于账户设置或安全设置部分。
- 创建一个新的 API 密钥对。请务必妥善保管新密钥,避免再次丢失。
- 创建新密钥后,旧的 API 密钥将会自动失效,无法再用于访问 Gemini API。
重要提示: 为了保障账户安全,建议定期更换 API 密钥,并启用双重验证等安全措施。
-
API 调用返回错误
429 Too Many Requests怎么办?当您收到
429 Too Many Requests错误时,表示您在短时间内发送了过多的 API 请求,超过了 Gemini API 的速率限制。解决方法如下:
- 降低请求频率: 调整您的应用程序,减少每秒或每分钟发送的请求数量。
-
实施重试机制:
当遇到
429错误时,不要立即放弃,而是等待一段时间(例如,几秒或几分钟),然后重试请求。采用指数退避策略,即每次重试之间的时间间隔逐渐增加。 - 检查 API 文档: 仔细阅读 Gemini API 文档,了解具体的速率限制规则,并根据这些规则优化您的应用程序。
- 使用 WebSocket API: 对于需要实时数据的场景,可以考虑使用 WebSocket API,它可以减少请求的数量。
最佳实践: 在开发应用程序时,应预先考虑到速率限制的问题,并进行相应的处理,以避免影响用户体验。
-
API 调用返回错误
401 Unauthorized怎么办?401 Unauthorized错误表示您的 API 请求未通过身份验证,通常是由于以下原因:- API 密钥错误: 仔细检查您在请求中使用的 API 密钥是否正确。确保密钥没有拼写错误或遗漏字符。
- 密钥 Secret 错误: 同样需要检查密钥 Secret 是否正确。Secret 应该与 API 密钥配对使用。
- 请求签名错误: 如果您使用了需要签名的 API 端点,请确保您的请求签名算法正确,并且使用了正确的密钥和参数。
- 权限不足: 您的 API 密钥可能没有访问特定 API 端点的权限。请检查您的 API 密钥权限设置,并确保您拥有访问所需资源的权限。
调试技巧: 在调试身份验证错误时,可以使用 API 调试工具,例如 Postman 或 cURL,来测试您的 API 请求。这些工具可以帮助您查看请求头和响应,从而更好地了解错误原因。