認證方式
富途 MCP 支援兩種認證方式:OAuth 2.0 和 AppKey 簽名認證。你可以根據使用場景選擇合適的方式。
認證方式對比
| OAuth 2.0 | AppKey 簽名認證 | |
|---|---|---|
| 適用場景 | MCP 客戶端(Claude、Cursor 等) | 自建伺服器端程式 |
| 認證流程 | 瀏覽器授權,自動令牌管理 | 請求標頭攜帶 AppKey + 簽名 |
| 用戶互動 | 需要用戶在瀏覽器中授權 | 無需用戶互動 |
| 令牌生命週期 | 短期令牌,自動刷新 | 長期有效,直到手動撤銷 |
OAuth 2.0
MCP 客戶端(如 Claude Desktop、Cursor)使用 OAuth 2.0 進行認證。客戶端會自動引導你完成授權流程。
授權流程
- AI 客戶端發起授權請求 — 客戶端將你重新導向至富途 OAuth 授權頁面
- 用戶驗證身份並授權 — 你需要登入並選擇要授權的權限範圍
- 客戶端獲取存取令牌 — 授權通過後,客戶端獲得用於 API 調用的令牌
- 令牌自動刷新 — 令牌過期時,客戶端會自動處理刷新
令牌生命週期
- Access Token 有效期較短(通常 1 小時)
- Refresh Token 用於獲取新的 Access Token,無需重新授權
- 撤銷 AppKey 會立即使所有關聯的令牌失效
AppKey 簽名認證
AppKey 簽名認證適用於自建的伺服器端程式,透過 AppKey ID 和私鑰對請求進行簽名,無需瀏覽器互動。
使用方式
- 在 Dashboard 中建立 AppKey,選擇簽名演算法(RSA-SHA256 或 Ed25519)
- 安全保存產生的私鑰(僅在建立時展示一次)
- 在每次 API 請求時,使用私鑰對請求內容簽名,並將 AppKey ID 和簽名附加到請求標頭中
安全建議
- 切勿以明文形式共享私鑰,請使用安全的憑證管理器儲存
- 建議設定 IP 白名單限制 API 存取來源
- 定期輪換 AppKey,遵循最小權限原則
權限範圍(Scopes)
無論使用哪種認證方式,都需要在建立 AppKey 時選擇權限範圍:
| Scope | 說明 |
|---|---|
quote:read | 查看即時行情、歷史 K 線等核心市場數據 |
quote:write | 管理自選列表 |
trade:read | 查詢帳戶資產、持倉明細、歷史訂單 |
trade:write | 執行下單、撤單操作 |