Trafix 도움말
개발자

Trafix API 키는 노출되면 전환을 위조할 수 있습니다. 그래서 키는 생성 직후에만 평문으로 1회 보이고, 그 뒤에는 다시 조회할 수 없습니다. 서버에는 원문이 아니라 해시만 저장합니다.

키 수명주기

단계동작
생성대시보드에서 raw key를 1회만 표시합니다.
표시이후에는 prefix만 참고용으로 남깁니다.
저장서버에는 SHA-256 해시만 저장하고 원문은 보관하지 않습니다.
사용서버가 Authorization: Bearer {API_KEY} 헤더로만 사용합니다.
재발급노출 의심 시 즉시 새 키를 발급하고 이전 키를 무효화합니다.

보안 원칙

  • API 키를 브라우저 JS, 앱 번들, 로그, 분석 이벤트에 넣지 않습니다.
  • 키는 서버 환경 변수(TRAFIX_API_KEY)로만 읽습니다.
  • 노출되면 즉시 재발급하고, 이전 키는 더 이상 사용하지 않습니다.
  • 외부 도구나 AI 프롬프트에는 원문 키를 넣지 않습니다.

요청 검증

브랜드 전환 요청은 Authorization: Bearer 헤더만 신뢰합니다. 서버는 제출된 키를 해시화한 뒤 저장된 해시와 상수시간 비교로 확인합니다. 원문 키는 복원하지 않습니다.

운영 게이트

프로덕션 전환 API는 durable rate limit 구성이 없으면 fail closed로 동작해야 합니다. 즉, 레이트리밋 백엔드가 없거나 비정상이면 공개 전환 트래픽을 받지 않습니다.

재발급 시 주의

  • 새 키를 발급하면 기존 키는 즉시 무효화합니다.
  • 포스트백을 보내는 서버는 새 키로 교체해야 합니다.
  • 키 교체 이후에도 브라우저 JS에는 절대 키를 넣지 않습니다.