로그인한 사용자의 요청을 처리할 때는 Access Token이나 Session을 통해 사용자를 식별합니다. 사용자가 누구인지 확인하고, 그 사용자가 어떤 API와 리소스에 접근할 수 있는지 판단합니다.
일반적인 웹 서비스의 인증 흐름은 이 구조를 중심으로 설계됩니다. 하지만 백엔드 시스템에서 처리하는 요청이 항상 사용자로부터 직접 오는 것은 아닙니다.
외부 파트너 서버가 우리 API를 호출할 수도 있고, 내부 서비스가 다른 내부 서비스를 호출할 수도 있습니다. 결제 완료 Callback, 본인인증 결과 통보, 금융 API 응답처럼 사용자가 아니라 시스템이 요청의 주체가 되는 경우도 많습니다.
이때 사용자 인증 방식을 그대로 시스템 간 호출에 적용하려고 하면 경계가 애매해집니다. 사용자 JWT는 “이 요청의 최종 사용자가 누구인지”를 알려줄 수는 있지만, “이 요청을 전달한 시스템이 신뢰할 수 있는지”까지 보장하지는 않습니다.
반대로 API Key나 HMAC 서명으로 호출 시스템을 검...
원문 링크 : 사용자 인증과 시스템 인증의 분리
![[Mybatis] 쿼리 실행 후 동시에 기본키 or 원하는 값 가져오기(INSERT, UPDATE, MERGE)](http://blogimgs.pstatic.net/nblog/mylog/post/og_default_image_160610.png)
![[프랑스 여행] 두 번째 유럽 : 파리(Paris)에서의 레이오버(Layover)](https://mblogthumb-phinf.pstatic.net/MjAyMDA3MDJfMTg0/MDAxNTkzNjE4OTE1OTIx._sHdFhuLOPYR5QYK4jnKagtWnGl63Q0M1A0RcIeNImwg.Z_6MAGsVbnPmuU5WS3o2qj7bd_c_VW4CnW_1a3PSxNYg.JPEG.l1523/20180806234700_IMG_6468.jpg?type=w2)
![[SQL] 윈도우 함수 WINDOWING 절(ROWS, RANGE) : 누적 합계](https://mblogthumb-phinf.pstatic.net/MjAyMTA0MjZfMTM4/MDAxNjE5NDQwOTA0NTIx.eKKebCd4bWo0voGgFxXQqHWDEqg8AYUHLEZf3dHouscg.uNOMZy_NojjrMQ9vZMxdDqKNaziIs_eR5Xiysq5Q0Wcg.PNG.l1523/image.png?type=w2)
![[ERD] 커뮤니티 모델링](https://mblogthumb-phinf.pstatic.net/MjAyMTA4MDNfMjUy/MDAxNjI3OTU1NDI2ODY5.0NwozpFEaOSLU81-dlGsr6HnFYIISjljdTTTnQHim6gg.PLUQh9lFEa3tFdmA5xj8xlCasylrFoLsu09dgZEhdIUg.PNG.l1523/%BF%C0%C0%CC%B8%B6%C4%CF_%B3%ED%B8%AE%B8%F0%B5%A8_20210714.png?type=w2)
