API 키가 무엇인가요?
인증 토큰을 이해하고 안전하게 사용해요
⏱ 예상 ~4분
01 · 읽기
JSONPlaceholder 는 인증이 필요 없어요 — 모두에게 열려 있어요. 하지만 대부분 실제 API 는 필요해요. API 키 를 줘요: 본인 신원을 식별하는 비밀 문자열이에요.
API 키가 존재하는 세 가지 이유:
1. 요청 제한 — 남용 방지 (하루 N 개 요청) 2. 과금 — 유료 플랜의 사용량 추적 3. 권한 — 권한 있는 사람만 비공개 데이터를 볼 수 있도록 제한
모든 요청에 키를 보내요, 보통은 헤더에 넣어요.
💡 상상해 봐요API 키는 호텔 객실 카드예요. 호텔은 본인이 누구인지, 어느 방에 들어갈 수 있는지, 언제 만료되는지 알아요. 카드 없으면 문은 잠겨 있어요. 다른 사람 카드를 쓰는 건 사칭이에요.
핵심 정리
- API 키는 비밀이에요 — 비밀번호처럼 다뤄요
- API 키를 Git 에 commit 하지 마요 (.env 를 .gitignore 에 추가)
- 실수로 유출되면 즉시 rotate (재생성) 해요
- 코드에서는 항상 환경 변수에서 읽어요: process.env.API_KEY
02 · 코드 예제
아래는 curl 에서 API 키 인증의 모습이에요. Bearer 토큰이 지금까지 가장 흔한 패턴이에요.
Bearer 토큰 (표준 패턴)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
-H 플래그는 요청에 헤더를 추가해요. Authorization: Bearer 뒤에 키를 붙이는 게 API 가 신원을 확인하는 표준 방식이에요. 일부 오래된 API 는 다른 패턴 (쿼리 파라미터, 커스텀 헤더) 을 쓰지만, Bearer 토큰이 가장 흔히 보게 될 거예요.
03 · 체크리스트
API 키 보안 규칙 — 지킬 항목에 체크해요.
- API 키를 공개 채팅방, GitHub issue, Slack 메시지에 붙여넣지 마요
- .env 를 만들기 전에 먼저 .env 를 .gitignore 에 추가해요
- 키를 환경 변수에 넣고, 코드에 하드코딩하지 마요
- API 키를 만들 때 최소한의 필요 권한만 부여해요
04 · 빈칸 채우기
API 키는 절대 _____ 에 commit 하면 안 돼요.
05 · 퀴즈
실수로 API 키를 공개 GitHub repo 에 commit 했어요. 가장 먼저 뭘 해야 하나요?
- git reset --hard 로 commit 을 삭제해요
- repo 를 비공개로 설정해요
- repo 에서 .env 파일을 삭제해요
- 제공자 대시보드에서 즉시 그 API 키를 rotate (재생성) 해요
⚠ 전체 인터랙티브 경험에는 JavaScript가 필요해요. JavaScript를 켜고 새로 고침해 주세요.
※ 이 사이트는 독립 운영되는 교육 프로젝트로, Anthropic의 공식 제품이 아니에요. Claude™ 는 Anthropic, PBC 의 상표예요.