토큰
최종 수정: 2026년 7월 3일
옷가게 쇼핑몰을 만들었다고 생각해 보세요. 콘텐츠 스튜디오에 등록해 둔 상품을, 손님이 보는 쇼핑몰 사이트에서 불러다 보여주고 싶습니다. 그런데 그 사이트는 사람이 아니라 프로그램입니다. 사람처럼 아이디와 비밀번호로 로그인할 수 없습니다. 이럴 때 사람 대신 사이트나 프로그램이 콘텐츠에 접근할 수 있도록 발급하는 비밀 열쇠가 토큰입니다.
토큰은 자물쇠를 여는 열쇠 하나라고 생각하면 됩니다. 이 열쇠를 가진 쪽은 로그인 없이도 정해진 범위 안에서 콘텐츠를 다룰 수 있습니다. 그래서 토큰은 비밀번호와 똑같이 다뤄야 합니다. 아무에게나 보여 주면 안 되고, 새어 나가면 가진 사람이 그 권한을 그대로 쓸 수 있습니다.
WEEGLOO에는 쓰임이 다른 두 종류의 열쇠가 있습니다. 하나는 계정에 묶인 강력한 열쇠(Personal Access Token)이고, 다른 하나는 공개 사이트에 콘텐츠를 읽어 보내기 위한 좁은 열쇠(Delivery Access Token)입니다. 이 페이지에서는 두 열쇠가 각각 무엇이고 언제 쓰는지 살펴본 뒤, 콘텐츠 스튜디오에서 직접 발급해 봅니다.
두 열쇠는 쓰임이 다릅니다
먼저 둘의 차이를 한눈에 정리하면 다음과 같습니다.
| Personal Access Token | Delivery Access Token | |
|---|---|---|
| 무엇에 묶이나 | 발급한 계정 | 특정 Space |
| 할 수 있는 일 | 그 계정이 할 수 있는 일 전부(상품 등록·수정·삭제 등 관리 작업) | Published(발행)된 콘텐츠를 읽기만 |
| 어디에 쓰나 | 서버·자동화 스크립트 같은, 사람 눈에 안 보이는 곳에서의 관리 작업 | 공개 웹사이트가 콘텐츠를 불러올 때 |
| 권한 범위 | 계정 권한 그대로(좁힐 수 없음) | 묶은 SpaceRole만큼만 |
핵심은 이렇습니다. Personal Access Token은 사람 한 명을 대신하는 만능열쇠에 가깝고, Delivery Access Token은 "현관 앞 게시판만 볼 수 있는" 좁은 열쇠입니다. 쓰임이 겹치지 않으니, 하려는 일에 맞는 쪽을 고르면 됩니다.
계정에 묶인 열쇠: Personal Access Token
Personal Access Token은 발급한 계정 본인에게 묶이는 열쇠입니다. 이 열쇠를 쓰면, 그 계정이 콘텐츠 스튜디오에서 할 수 있는 일을 로그인 없이 그대로 할 수 있습니다. 상품을 등록하거나, 수정하거나, 발행하는 관리 작업까지 가능합니다.
그래서 이 열쇠는 강력합니다. 예를 들어 매일 밤 자동으로 신상품을 콘텐츠 스튜디오에 올려 주는 프로그램을 만든다면, 그 프로그램이 사람처럼 로그인할 수 없으니 이 열쇠를 쥐여 줍니다. 서버나 자동화 스크립트처럼 사람 눈에 직접 보이지 않는 곳에서 관리 작업을 자동으로 돌릴 때 쓰는 열쇠입니다.
강력한 만큼 다루는 데 주의가 필요합니다. 이 열쇠는 손님이 보는 공개 웹사이트나 브라우저에 넣으면 안 됩니다. 공개된 곳에 넣으면 누구나 열쇠를 꺼내 볼 수 있고, 그 열쇠를 손에 넣은 사람은 발급한 계정의 권한을 그대로 쓸 수 있기 때문입니다. 공개 사이트에서 상품을 불러다 보여 주기만 할 때는, 강력한 이 열쇠 대신 아래의 Delivery Access Token을 씁니다.
Personal Access Token은 발급할 때 이름만 정하면 됩니다. 권한 범위를 따로 고르지 않습니다. 발급한 계정이 가진 권한을 그대로 물려받기 때문입니다.
Space에 묶인 열쇠: Delivery Access Token
Delivery Access Token은 특정 한 Space에 묶이는 읽기 전용 열쇠입니다. 이 열쇠로는 그 Space 안에서 Published(발행) 상태인 콘텐츠를 읽어 올 수만 있습니다. 발행하지 않은 Draft 상태의 콘텐츠는 이 열쇠로 읽히지 않고, 수정하거나 삭제하는 것도 할 수 없습니다.
손님이 보는 쇼핑몰 사이트가 상품을 불러다 보여 줄 때 쓰는 열쇠가 바로 이것입니다. 사이트는 상품을 보여 주기만 하면 되지 등록하거나 지울 필요가 없으니, 읽기만 할 수 있는 좁은 열쇠로 충분합니다. 이 열쇠가 새어 나가더라도 발행된 콘텐츠가 읽힐 뿐, 콘텐츠를 망가뜨릴 수는 없습니다.
콘텐츠를 발행(Published)한다는 것이 무엇이고 발행해야 외부에 공개(전달)되는 이유는 상태와 발행에서 다룹니다.
좁은 역할을 묶어 읽을 범위를 제한하세요
Delivery Access Token을 발급할 때는 이 열쇠가 어디까지 읽을 수 있는지를 SpaceRole(역할)로 정해서 함께 묶습니다. 역할은 "무엇을, 어떤 동작까지 할 수 있는지"를 정해 둔 권한 묶음입니다. 열쇠에 역할을 묶으면, 그 열쇠는 묶인 역할이 허용하는 만큼만 읽을 수 있습니다.
쇼핑몰 사이트라면 "상품"만 읽으면 되므로, 상품(Content)에 대해 Read만 허용하는 좁은 역할을 만들어 묶습니다. 그러면 이 열쇠가 새어 나가더라도 상품 정보만 읽힐 뿐, 다른 콘텐츠나 멤버 정보까지 새지 않습니다.
모든 것을 다룰 수 있는 Administrator 역할은 묶지 마세요. Administrator는 그 Space 안의 모든 것을 다룰 수 있는 최고 권한 역할입니다. 읽기만 하면 되는 공개 사이트용 열쇠에 이렇게 넓은 권한을 묶으면, 열쇠가 새어 나갔을 때 위험이 커집니다. 필요한 것만 읽도록 좁힌 역할을 따로 만들어 묶는 것이 안전합니다.
역할을 만들고 권한을 좁히는 방법은 역할과 권한에서 다룹니다. 공개 사이트용 열쇠에 묶을, 상품 Read만 허용하는 역할을 그 페이지를 보고 미리 만들어 두세요.
발급한 비밀값 다루기
두 열쇠 모두, 발급을 마치면 화면에 비밀 토큰 값이 나타납니다. 이 값이 곧 열쇠 그 자체입니다. 서버나 사이트에 넣을 때 이 값을 씁니다. 발급 직후 그 자리에서 복사해 보관하세요. 토큰의 상세 화면에서 다시 확인할 수도 있습니다.
다만 두 열쇠는 두는 곳이 다릅니다.
- Personal Access Token은 비밀번호처럼 다루세요. 강력한 열쇠이므로 서버 안에만 두고, 손님이 보는 공개 사이트나 브라우저, 남이 볼 수 있는 코드에는 넣지 마세요.
- Delivery Access Token은 반대로, 손님이 보는 공개 사이트에 넣는 것이 본래 용도입니다. 사이트를 여는 사람은 누구나 이 값을 볼 수 있는 셈이지만, 좁은 역할을 묶어 두었으므로 누가 이 값을 가져가더라도 그 역할이 허용한 읽기 범위 밖으로는 아무것도 할 수 없습니다. 그래서 사이트에 넣어 두는 것 자체는 문제가 되지 않습니다. 다만 쓰려는 사이트 밖으로 함부로 퍼뜨리지는 마세요.
열쇠를 잃어버렸거나 의도와 다르게 쓰인 것 같으면, 그 열쇠를 지우고 새로 발급해서 바꿔 끼우면 됩니다.
Personal Access Token 발급하기
매일 밤 신상품을 자동으로 올려 주는 프로그램에 쥐여 줄 Personal Access Token을 발급해 봅니다.
- 계정 설정에서 Personal Access Token 화면을 여세요.
- 오른쪽 위의 생성 버튼을 누르세요.
- 이름 칸에
야간 신상품 업로드를 입력하세요. 이 이름은 나중에 어떤 용도로 만든 열쇠인지 알아보기 위한 것입니다. - 저장 버튼을 눌러 발급하세요.

발급이 끝나면 비밀 토큰 값이 화면에 나타납니다. 그 자리에서 복사해 안전한 곳에 보관하세요. 화면 모양은 아래 Delivery Access Token 발급 결과와 같습니다.
Delivery Access Token 발급하기
이번에는 쇼핑몰 사이트가 상품을 불러다 보여 줄 때 쓸 Delivery Access Token을 발급해 봅니다. 이 열쇠는 옷가게 Space에 묶이고, 상품을 읽을 수 있는 좁은 역할을 함께 묶습니다.
먼저 이 열쇠에 묶을 역할이 Space에 있어야 합니다. 상품(Content)에 대해 Read만 허용하는 역할을 역할과 권한에서 미리 만들어 두세요. 아래에서는 그 역할을 상품 읽기 전용이라는 이름으로 만들어 두었다고 하겠습니다.
- 옷가게 Space의 설정에서 Delivery Access Token 화면을 여세요.
- 오른쪽 위의 생성 버튼을 누르세요.
- 이름 칸에
쇼핑몰 사이트 전달용을 입력하세요. - 설명 칸에는 이 열쇠를 어디에 쓰는지 적어 둘 수 있습니다. (선택 사항입니다.)
- Space Role에서
상품 읽기 전용을 고르세요. Administrator는 고르지 마세요. - 생성 버튼을 눌러 발급하세요.

발급이 끝나면 비밀 토큰 값이 화면에 나타납니다. 그 자리에서 복사해 안전한 곳에 보관하세요.

더 이상 쓰지 않는 열쇠는 지우세요
쓰지 않게 된 열쇠는 그대로 두지 말고 지우는 것이 안전합니다. 토큰 목록에서 더 이상 쓰지 않는 열쇠를 찾아 지우세요. 열쇠를 지우면 그 열쇠로는 더 이상 접근할 수 없습니다. 열쇠가 새어 나간 것 같을 때도 마찬가지입니다. 의심되는 열쇠를 지우고 새로 발급해서 바꿔 끼우면 됩니다.
