认证方式
富途 MCP 支持两种认证方式:OAuth 2.0 和 AppKey 签名认证。你可以根据使用场景选择合适的方式。
认证方式对比
| OAuth 2.0 | AppKey 签名认证 | |
|---|---|---|
| 适用场景 | MCP 客户端(Claude、Cursor 等) | 自建服务端程序 |
| 认证流程 | 浏览器授权,自动令牌管理 | 请求头携带 AppKey + 签名 |
| 用户交互 | 需要用户在浏览器中授权 | 无需用户交互 |
| 令牌生命周期 | 短期令牌,自动刷新 | 长期有效,直到手动撤销 |
OAuth 2.0
MCP 客户端(如 Claude Desktop、Cursor)使用 OAuth 2.0 进行认证。客户端会自动引导你完成授权流程。
授权流程
- AI 客户端发起授权请求 — 客户端将你重定向到富途 OAuth 授权页面
- 用户验证身份并授权 — 你需要登录并选择要授权的权限范围
- 客户端获取访问令牌 — 授权通过后,客户端获得用于 API 调用的令牌
- 令牌自动刷新 — 令牌过期时,客户端会自动处理刷新
令牌生命周期
- Access Token 有效期较短(通常 1 小时)
- Refresh Token 用于获取新的 Access Token,无需重新授权
- 撤销 AppKey 会立即使所有关联的令牌失效
AppKey 签名认证
AppKey 签名认证适用于自建的服务端程序,通过 AppKey ID 和私钥对请求进行签名,无需浏览器交互。
使用方式
- 在 Dashboard 中创建 AppKey,选择签名算法(RSA-SHA256 或 Ed25519)
- 安全保存生成的私钥(仅在创建时展示一次)
- 在每次 API 请求时,使用私钥对请求内容签名,并将 AppKey ID 和签名附加到请求头中
安全建议
- 切勿以明文形式共享私钥,请使用安全的凭证管理器存储
- 建议设置 IP 白名单限制 API 访问来源
- 定期轮换 AppKey,遵循最小权限原则
权限范围(Scopes)
无论使用哪种认证方式,都需要在创建 AppKey 时选择权限范围:
| Scope | 说明 |
|---|---|
quote:read | 查看实时行情、历史 K 线等核心市场数据 |
quote:write | 管理自选列表 |
trade:read | 查询账户资产、持仓明细、历史订单 |
trade:write | 执行下单、撤单操作 |