API 키
Tiro API는 인증에 API 키를 사용해요. 모든 API 요청은 Authorization 헤더에 Bearer token 형식으로 유효한 API 키를 포함해야 해요.
API 키 발급
Tiro Platform 대시보드에서 API 키를 발급받으세요.
- platform.tiro.ooo/dashboard/api-keys로 이동해 로그인하세요
- Create New API Key를 클릭하세요
- API 키를 복사해 안전하게 보관하세요
API 키는 안전하게 보관하고 클라이언트 측 코드에 절대 노출하지 마세요. API 키는
서버 측 애플리케이션에서만 사용해야 해요.
API 키 형식
Tiro API 키는 다음 형식을 따라요.
예시: abc123.xR7mK9pL2qW4...
| 부분 | 예시 | 설명 |
|---|
Key ID ({id}) | abc123 | Platform 대시보드에서 볼 수 있어요. 어떤 키가 요청을 보내는지 식별하는 데 쓰여요. |
Secret ({secret}) | xR7mK9pL2qW4... | 생성 시 한 번만 표시돼요. 서버는 해시만 저장하므로 복구할 수 없어요. |
| 전체 API 키 | abc123.xR7mK9pL2qW4... | 점을 포함한 전체 문자열이에요. 이 값을 Bearer token으로 사용해요. |
흔한 실수: Key ID(abc123)만 Bearer token으로 쓰지 마세요. 전체 키(abc123.xR7mK9pL2qW4...), 즉 키 생성 시 표시된 전체 문자열을 사용해야 해요.
인증된 요청 보내기
모든 요청의 Authorization 헤더에 API 키를 포함하세요.
curl -H "Authorization: Bearer $TIRO_API_KEY" \
-H "Content-Type: application/json" \
https://api.tiro.ooo/v1/external/notes
인증 에러
인증에 실패하면 401 Unauthorized 응답을 받아요. 흔한 원인은 다음과 같아요.
- Authorization 헤더 누락
- 잘못된 형식의 키 (
{id}.{secret} 형식이어야 해요)
- 알 수 없는 key id
- 비활성·만료·삭제된 키
{
"error": {
"code": "invalid_api_key",
"message": "The API key provided is invalid",
"type": "authentication_error"
}
}
보안 모범 사례
환경 변수
환경 변수를 사용해 API 키를 안전하게 보관하세요.
# .env file (never commit this!)
TIRO_API_KEY=abc123.XYZ...
추가 보안 가이드라인
- 키를 주기적으로 교체하세요: 사용하지 않는 키는 삭제하고 새 키를 생성하세요
- 환경별로 키를 분리하세요: 개발과 프로덕션에 서로 다른 키를 사용하세요
- 사용량을 모니터링하세요: API 키 사용량을 추적하고 이상이 보이면 교체하세요
- API 키를 절대 로그에 남기지 마세요: 애플리케이션 로그에 키가 나타나지 않도록 하세요
- HTTPS만 사용하세요: 항상 보안 연결로 요청을 보내세요
