您似乎正在使用IG Labs REST Trading API；文档说明有两种身份验证模式，具体取决于您指定的API版本。您引用的标题文档是所涉及的不同标题的概述。这一节对于实际理解身份验证/授权如何为该API工作并不十分有用。

在同一页上有一个认证和授权部分，你需要学习的是这个部分。这里描述了两种身份验证模式。还有一个separate examples section解释了这两种不同模式如何处理所示的具体请求和响应。

要进行身份验证，必须首先向POST请求发送一个^{} route，API密钥位于X-IG-API-KEY头中。这是你需要用户名和密码的地方。然后，有效的用户名/密码将为您提供安全令牌以用于后续请求。对于API版本1和2，可以包含一个额外的字段encryptedPassword，以说明密码是纯文本还是加密的；您只需要满足IG Singapore login restrictions的要求，就可以安全地省略该字段。

对于v1和v2请求，您可以在响应头中获得这些令牌，而API v3版本则在正文中提供所需的信息。代币的使用寿命有限。v1/v2令牌的有效期为6小时，但在您需要再次登录之前，通过使用这些令牌发出请求，会自动延长72小时。v3令牌的有效期仅为60秒，但单独的refresh_token允许您通过将刷新令牌发送到^{} endpoint来获取新令牌。

V1/v2请求然后在/session响应使用的完全相同的头中使用令牌，因此跨CST(“客户端会话令牌”)和X-SECURITY-TOKEN头复制，就可以了。

V3请求使用标准的OAuthAuthorization头，方法设置为Bearer。只需使用oauthToken结构中的access_token值构造该头，并在access_token过期时保存refresh_token。文档还建议您设置IG-ACCOUNT-ID头来标识帐户(令牌仅标识客户端)。

我强烈建议您使用^{} object来简化头处理。

对于API的v1和v2版本，请使用：import requests

url = 'https://website.com'

API_KEY = '.... your API key ....'

username = 'username'

password = 'password'

session = requests.Session()

# these are sent along for all requests

session.headers['X-IG-API-KEY'] = API_KEY

# not strictly needed, but the documentation recommends it.

session.headers['Accept'] = "application/json; charset=UTF-8"

# log in first, to get the tokens

response = session.post(

url + '/session',

json={'identifier': username, 'password': password},

headers={'VERSION': '2'},

)

response.raise_for_status() # if not a 2xx response, raise an exception

# copy across the v1/v2 tokens

session.headers['CST'] = response.headers['CST']

session.headers['X-SECURITY-TOKEN'] = response.headers['X-SECURITY-TOKEN']

现在您可以使用session继续访问API。

对于v3，标记位于JSON主体中：session = requests.Session()

# these are sent along for all requests

session.headers['X-IG-API-KEY'] = API_KEY

# log in first, to get the tokens

response = session.post(

url + '/session',

json={'identifier': username, 'password': password},

headers={'VERSION': '3'},

)

response.raise_for_status() # if not a 2xx response, raise an exception

response_data = response.json()

oauth_tokens = response_data['oauthToken']

session.headers['Authorization'] = 'Bearer ' + oauth_tokens['access_token']

session.headers['IG-ACCOUNT-ID'] = response_data['accountId']

现在设置为使用session继续访问API，直到oauth._tokens['expires_in']秒过去或给出401响应：if response.status == 401 and response.json()['errorCode'] == 'error.security.oauth-token-invalid':

# refresh required, old token is done.

然后需要使用session.post(url + '/session/refresh-token', json={'refresh_token': oauth_tokens['refresh_token']}) to get a freshoauthToken`结构：# refresh the access token

del session.headers['Authorization']

response = session.post(

url + '/session/refresh-token',

json={'refresh_token': oauth_tokens['refresh_token']},

headers={'VERSION': '1'},

)

response.raise_for_status() # if not a 2xx response, raise an exception

oauth_tokens = response.json()

session.headers['Authorization'] = 'Bearer ' + oauth_tokens['access_token']

注意，我一直在每个单独的请求中发送VERSION头；它们的API使用每个端点的版本号，因此/session有3个版本，但是/session/refresh-token只有版本1，您不能将VERSION设置为任何其他版本，否则它将中断。

V3 /session格式可能看起来更麻烦，但是该版本允许您无限期地刷新访问，只要您在上次使用令牌后10分钟内刷新；V1/V2访问令牌在最多72小时后过期，无论您做什么。