인증
API 인증 및 보안
마지막 수정: 2026. 7. 14. 오전 8:02:03약 2분 소요
인증 방식
JWT(JSON Web Token) 기반 Bearer 인증을 사용합니다. 모든 쓰기 API(POST, PATCH, DELETE)에는 유효한 토큰이 필요합니다. 읽기 API(GET)는 공개 접근이 허용됩니다.
토큰 획득
POST /auth/login
Content-Type: application/json
Body: {"username": "user", "password": "pass"}
Response:
{
"access_token": "eyJ...",
"token_type": "bearer",
"expires_in": 86400
}
API 요청 시 토큰 사용
Authorization: Bearer eyJ...
토큰 만료 및 갱신
기본 만료 시간은 24시간(86400초)입니다.
만료 후에는 재로그인이 필요합니다.
자동 갱신이 필요하다면 만료 1시간 전에 POST /auth/refresh를 호출하세요.
보안 주의사항
토큰을 localStorage에 저장하지 마세요. XSS 공격에 취약합니다. HttpOnly 쿠키 방식을 권장합니다. HTTPS 환경에서만 운영하세요.