API Key
가장 널리 보편적으로 쓰이는 기술
동작 방식
- 사용자가 API Key를 발급 받고
- 해당 API를 사용하기 위해 Key와 함께 요청을 보냄
- 애플리케이션은 요청이 오면 Key를 통해 유저정보를 확인
- Key의 인증과 인가에 따라 사용자에게 데이터 반환
문제점
- Key가 유출되면 대비가 힘들다
- 따라서 주기적인 key업데이트가 필요
- 예기치 못한 상황이 발생할 확률이 높음
- 보안에 취약함
OAuth2
API Key의 단점을 메꾸기 위해 등작한 방식
대표적으로 페이스북, 트위터 등 SNS 로그인기능에서 쉽게 볼 수 있다.
요청하고 요청받는 단순한 방식이 아니라 인증하는 부분이 추가되어 독립적으로 세분화가 이루어졌다.
자세한 내용은 게시글 참고 Oauth
문제점
- 기존 API Key 방식에 비해 복잡한 구조
- 증명확인 필요
- 유효성 확인 작업이 필요(유효기간 문제도 있음)
JWT
JWT는 JSON Web Token의 줄임말로 인증 흐름의 규약이 아닌 Token 작성에 대한 규약
자세한 내용은 게시글 참고 JWT
문제점
- 토큰 자체가 인증 정보를 가지고 있기에 민감한 정보는 인증서버에 다시 접속하는 과정 필요
