보안
토큰(Token)
토큰(Token)은(는) 바이브 코딩 중 자주 마주치는 핵심 개념입니다. 정의만 외우기보다 실제 작업 흐름에서 어떤 역할을 하는지 이해하는 것이 중요합니다.
쉬운 설명
서비스 접근 권한을 증명하는 문자열.
배경과 쓰임까지 이해하기
조금 더 자세히
토큰(Token)은 로그인 상태나 접근 권한을 증명하는 문자열입니다. 보통 사용자가 로그인하면 서버는 이 사용자가 누구인지 확인할 수 있는 토큰을 발급하고, 이후 요청마다 그 토큰을 보고 접근을 허용할지 판단합니다. 예를 들어 로그인 세션 유지, API 접근 권한 확인, Github(깃허브) 연동, OAuth 인증, 비밀번호 재설정 링크, 웹훅 검증 등에 토큰이 쓰입니다.
토큰이 노출되면 다른 사람이 내 권한처럼 사용할 수 있기 때문에 저장 위치와 만료 시간을 신경 써야 합니다. API 키(API Key)가 서비스 사용 권한에 가깝다면, 토큰(Token)은 특정 사용자나 세션의 권한을 나타내는 경우가 많습니다. 한마디로, 토큰(Token)은 내가 허용된 사용자라는 것을 증명하는 임시 출입증입니다.
실제로는 이렇게 만나요
사용자가 로그인하면 서버가 토큰(Token)을 발급하고, 이후 요청마다 이 토큰(Token)을 확인해 권한을 판단합니다.
- 이런 거 할 때 나와요 로그인 세션, API 접근, GitHub(깃허브) 연동 같은 기능에서 토큰(Token)이 자주 쓰입니다.
- 이렇게 생겼어요 `eyJ...`처럼 긴 문자열이거나 로그인 세션/접근 권한을 나타내는 값으로 보입니다.
- 나오는 화면 예시 로그인 설정, OAuth 콜백, GitHub Personal Access Token 발급 화면
헷갈리기 쉬운 점
토큰(Token)은 비밀번호처럼 다뤄야 합니다. 노출되면 다른 사람이 내 권한으로 요청을 보낼 수 있습니다.
왜 알아두면 좋을까요?
로그인 세션, API 접근, GitHub(깃허브) 연동 같은 기능에서 토큰(Token)이 자주 쓰입니다.
Checklist
실제로 볼 때 확인할 것
- 01
토큰을 로그에 남기지 않는다
- 02
만료 시간을 둔다
- 03
노출 시 폐기할 수 있어야 한다