Интеграция API Kraken в мобильное криптоприложение
Kraken — биржа с одной из самых строгих систем подписи среди публичных криптовалютных API. Алгоритм HMAC-SHA512 с двойным хэшированием отпугивает разработчиков, которые привыкли к простому SHA256. На практике реализация занимает полдня, но нюансов хватает.
Механизм подписи: SHA256 + SHA512 в цепочке
Kraken Private API (https://api.kraken.com/0/private/) требует:
-
nonce— монотонно возрастающее целое. Kraken рекомендует Unix timestamp в миллисекундах, но жёстко не фиксирует формат, лишь бы каждый следующий был больше предыдущего. -
API-Sign: Base64(HMAC-SHA512(urlPath + SHA256(nonce + postData), Base64Decode(privateKey)))
Приватный ключ у Kraken — Base64-encoded бинарный секрет, не ASCII-строка. Декодировать нужно в байты перед использованием как ключ для HMAC. Типичная ошибка на iOS: передать Data(privateKey.utf8) вместо Data(base64Encoded: privateKey)! — подпись формируется, но всегда невалидна.
postData — urlencoded строка параметров включая nonce. Порядок: nonce первым не обязателен, но если его нет — EAPI:Invalid nonce.
WebSocket API v2
Kraken перешёл на WebSocket API v2 в 2023. Старая v1 (wss://ws.kraken.com) ещё работает, но новые фичи только в v2 (wss://ws.kraken.com/v2). Формат сообщений изменился — в v2 используется структура {"method": "subscribe", "params": {...}} вместо {"event": "subscribe", ...} из v1.
Авторизация приватного канала: получаем временный токен через REST POST /0/private/GetWebSocketsToken, передаём в params.token при подписке на executions (ордера) или balances. Токен живёт 15 минут — нужен механизм обновления. Без обновления при долгой сессии пользователь потеряет обновления ордеров без явной ошибки (канал просто перестанет присылать события).
Особенность имён активов
Kraken использует нестандартные имена: XBT вместо BTC, XDG вместо DOGE. Пары называются XXBTZUSD, XETHZUSD (с двойным префиксом для ISO-валют). В WebSocket v2 имена нормализованы (BTC/USD), в REST — нет. При маппинге между UI и API нужна таблица алиасов, иначе AssetPairs запрос вернёт пару, которую пользователь не узнает.
Rate limiting
Kraken считает «counter» нагрузки — каждый запрос добавляет очки (от 1 до 2 в зависимости от эндпоинта), каждые несколько секунд очки убывают. При превышении лимита (EAPI:Rate limit exceeded) IP блокируется. Нет заголовков с остатком лимита, как у Binance. Нужно самостоятельно вести счётчик или использовать адаптивный интервал запросов.
Для мобильного приложения: рекомендуем не поллить баланс чаще раза в 10 секунд, ордерную историю — раз в 30 секунд, все маркет-данные получать через WebSocket.
Стек и сроки
Для нативного iOS: CryptoKit для HMAC-SHA512 (доступен с iOS 13), URLSession для REST и URLSessionWebSocketTask для WebSocket. Combine Publisher для потока событий ордеров.
Для Android: javax.crypto.Mac с HmacSHA512, OkHttp WebSocket client. Kotlin Coroutines + Flow для реактивного обновления UI.
Интеграция Kraken чуть сложнее конкурентов из-за специфики подписи и имён активов. Базовая интеграция (spot, без маржи) — 3–4 недели. Futures API (futures.kraken.com) — отдельный домен с другой аутентификацией, оцениваем отдельно.