언제 사용자 OAuth 2.0을 쓰고, 언제 서비스 계정을 사용해야 하나요?

사용자가 자신의 계정 데이터(Gmail, Drive, Calendar 등)에 앱의 접근을 허용하는 경우에는 사용자 OAuth 2.0 방식이 기본이고, 서버에서 정해진 계정이나 공유 리소스에 백그라운드 작업을 수행하는 경우에는 서비스 계정 방식이 일반적입니다. 구글워크스페이스 API 인증 설계 시 이 호출이 누구의 이름으로 실행되는지에 따라 방식을 선택하는 것이 중요합니다.

서비스 계정만으로도 조직 내 사용자 개인 Gmail이나 Drive를 볼 수 있나요?

일반적인 서비스 계정은 자신에게 권한이 부여된 리소스에만 접근할 수 있으며, 자동으로 조직 내 임의 사용자 계정의 Gmail이나 Drive 전체를 볼 수는 없습니다. 조직 전체 사용자로 가장해 작업하려면 워크스페이스 관리자 설정에서 도메인 전체 위임을 별도로 구성해야 하며, 이 설정은 매우 강력하므로 구글워크스페이스 API 인증 설계 시 최소 권한 원칙을 적용해야 합니다.

OAuth 동의 화면에서 경고 메시지가 표시되는 이유는 무엇인가요?

검증되지 않은 앱이거나, 민감 또는 제한된 스코프를 요청하면서 구글의 검토를 거치지 않은 경우 사용자에게 경고 화면이 표시될 수 있습니다. 외부 사용자까지 대상으로 할 계획이라면 동의 화면에 앱 정보, 로고, 개인정보 처리방침 URL을 정확히 채워 넣고, 필요한 경우 구글 검토 절차를 준비하는 것이 구글워크스페이스 API 인증 과정에서 중요합니다.

테스트 환경과 운영 환경에서 구글워크스페이스 API 인증은 어떻게 분리하는 것이 좋을까요?

보통 구글 클라우드 프로젝트를 개발, 스테이징, 프로덕션 등으로 분리하고 각 프로젝트마다 별도의 OAuth 클라이언트, 서비스 계정, 리디렉션 URL을 설정하는 방식이 권장됩니다. 이렇게 하면 테스트용 구글워크스페이스 API 인증 설정이 운영 키와 토큰과 섞이지 않아 설정 실수와 보안 사고 가능성을 크게 줄일 수 있습니다.

구글워크스페이스 API 인증, “OAuth 동의화면”보다 계정·범위·권한 구조를 먼저 이해하는 것이 핵심입니다

구글워크스페이스 API 인증은 단순히 콘솔에서 키를 하나 발급받는 작업이 아니라, “어떤 계정이 어떤 권한으로 어떤 데이터에 접근할지”를 설계하는 일에 가깝습니다. 개인 연동이든 사내 자동화든, 잘못 설정된 인증 구조는 나중에 보안 사고나 권한 문제로 돌아오기 때문에, 처음부터 계정 종류·OAuth 2.0 흐름·서비스 계정·스코프 범위를 개념적으로 정리해 두면 이후 개발·운영이 훨씬 안정적입니다.

이 글은 특정 라이브러리나 언어를 홍보하는 튜토리얼이 아니라, 비개발자·초보 개발자도 따라올 수 있도록 구글워크스페이스 API 인증의 큰 그림을 설명하는 실무형 가이드입니다. 실제 코드 구현이나 상세 설정은 공식 문서와 개발자 가이드에 다시 의존해야 하지만, “어떤 선택지를 두고 어떤 기준으로 결정해야 하는지” 방향을 잡는 데 도움이 되도록 구성했습니다. 특히 사내 자동화·외부 벤더 연동·민감 데이터 사용을 고민한다면 계정 구조와 보안 관점까지 함께 살펴보는 것이 중요합니다.

사용자 계정 OAuth vs 서비스 계정 구조 한 번에 이해하기 Sheets · Drive · Gmail에 최소 권한 스코프만 열기 테스트·운영 프로젝트를 나누고 키·토큰을 분리 관리 도메인 전체 위임은 꼭 필요한 경우에만 신중히 사용 토큰 만료·권한 회수까지 고려한 운영 시나리오 설계

구글워크스페이스 API 인증, “토큰 한 번 받기”보다 구조를 이해하는 것이 먼저입니다

1) 사용자 OAuth 2.0 vs 서비스 계정, 역할 구분부터

구글워크스페이스 API 인증에는 크게 두 축이 있습니다. 사용자 브라우저·앱에서 로그인 팝업을 띄우는 OAuth 2.0 방식과, 서버에서 비공개 키를 들고 조용히 동작하는 서비스 계정 방식입니다. 전자는 “사용자 본인 계정의 데이터”에 접근할 때, 후자는 “봇 계정이나 시스템 계정”이 백그라운드에서 작업할 때 주로 사용합니다. 어떤 계정이 주인인지에 따라 인증 방식이 달라지므로, 먼저 “이 API 호출은 누구의 이름으로 실행되는가”를 명확히 해야 합니다.

2) 구글 클라우드 프로젝트·워크스페이스 도메인·사용자 계정 관계 이해

구글워크스페이스 API 인증을 위해서는 구글 클라우드 콘솔에 프로젝트를 만들고, 그 프로젝트 안에서 OAuth 클라이언트 또는 서비스 계정을 생성합니다. 이 프로젝트는 하나의 “앱” 역할을 하며, 워크스페이스 도메인(회사 계정)과 연결될 수도 있고 개인 Gmail 계정으로만 사용할 수도 있습니다. 조직에서 운영할 때는 “테스트/스테이징/운영 프로젝트를 분리”하는 습관이 특히 중요합니다.

3) 스코프(scope)는 “최소 권한” 원칙으로 설계

API 스코프는 “이 앱이 어떤 데이터에 어느 정도까지 접근 가능한지”를 정의합니다. 예를 들어 Sheets 읽기 전용 스코프와 읽기+쓰기 스코프는 전혀 다른 위험도를 가집니다. 구글워크스페이스 API 인증에서 흔한 실수는 편하다는 이유로 가장 넓은 스코프를 한 번에 요청하는 것입니다. 실제 필요한 기능에 맞춰 읽기 전용·특정 서비스만 선택하는 식으로 최소 권한을 설계해야 보안과 심사에서 모두 유리합니다.

구글워크스페이스 API 인증이 꼬이는 대표적인 네 가지 패턴

1) 개발·테스트용 프로젝트와 운영 프로젝트를 섞어 쓰는 경우

콘솔에서 대충 하나만 만들어 놓고 개발·테스트·운영을 모두 얹으면, 나중에 어떤 키가 어디에 쓰였는지 추적하기가 어려워집니다. 구글워크스페이스 API 인증에서는 “개발/스테이징/프로덕션” 프로젝트를 구분하고, 각 환경별로 OAuth 클라이언트와 리디렉션 URL을 별도로 관리하는 것이 안정적입니다.

2) 민감 스코프를 요청하면서 설명·심사 준비 없이 배포하는 경우

Gmail 전체 읽기·조직 전체 Drive 접근 같은 민감 스코프는 구글의 검토 대상이 될 수 있습니다. 설명 문서와 개인정보 처리방침 없이 넓은 스코프를 요청하면 구글워크스페이스 API 인증 단계에서 사용자가 경고 화면을 보고 이탈하거나, 심사 단계에서 지연이 발생할 수 있습니다.

3) 서비스 계정 키를 소스코드/공유 저장소에 올리는 경우

서비스 계정은 JSON 키 파일이 곧 비밀입니다. 이 파일이 깃 저장소·파일 공유 폴더 등에 그대로 올라가면 심각한 보안 사고로 이어질 수 있습니다. 구글워크스페이스 API 인증에서 키 관리는 가장 기본적인 보안 포인트이며, 환경 변수·시크릿 매니저 등을 활용해 코드와 키를 분리하는 것이 필수입니다.

4) 토큰 만료·권한 회수 시나리오를 전혀 고려하지 않는 경우

액세스 토큰은 유효기간이 있고, 사용자가 동의를 철회하거나 관리자가 앱 사용을 차단할 수도 있습니다. 이때를 대비해 토큰 갱신 실패·권한 거부 상황에서 어떻게 다시 로그인·동의를 유도할지 흐름을 미리 설계해 두어야 구글워크스페이스 API 인증 기반 서비스가 장기적으로 안정적으로 돌아갑니다.

구글워크스페이스 API 인증, “구글이 시키는 대로만”이 아니라 “우리 조직 모델로 번역하는 일”입니다

1) 조직 구조와 역할에 맞춰 인증 방식을 매핑하기

한 회사 안에는 관리자(슈퍼어드민), 일반 직원, 외주 인력, 시스템 계정 등 여러 타입의 주체가 있습니다. 구글워크스페이스 API 인증을 설계할 때 이들을 하나의 계정으로 뭉개기보다, “어떤 작업은 서비스 계정+도메인 위임이 맡고, 어떤 작업은 사용자 OAuth로 각자 동의 받는다”처럼 역할을 나누어 설계하는 것이 장기적으로 유리합니다.

2) 인증은 한 번이 아니라 “수명주기 전체”로 본다는 관점

개발 초기에는 “토큰 하나만 나오면 좋겠다”에 집중하기 쉽지만, 실제 운영 단계에서는 키 발급·배포·교체·폐기, 권한 확장·축소, 로그·모니터링 등 수명주기 전반을 관리해야 합니다. 구글워크스페이스 API 인증을 “보안·운영 정책”의 일부로 바라보면, 나중에 인원 교체가 있어도 시스템이 무너지지 않습니다.

3) 공식 문서·샘플 코드를 “우리 언어”로 해석해 두기

구글 문서는 대부분 영어·개발자 중심 용어로 되어 있습니다. 팀에서 실제로 운영하려면 구글워크스페이스 API 인증 관련 핵심 개념을 “사내 위키”나 “간단한 도표” 형태로 정리해 두는 것이 좋습니다. 예를 들어 “이 API는 이 서비스 계정이 이 스코프로 호출한다”는 표를 만들면, 개발자가 아니더라도 구조를 빠르게 이해할 수 있습니다.

상황 유형	시작 전에 정리할 것	필수/권장 준비 자료	구글워크스페이스 API 인증 포인트
개인/팀용 소규모 자동화 (Sheets·Drive 위주)	• 어떤 계정의 문서에 접근할지 (본인/공유드라이브) • 읽기만 필요한지, 쓰기도 필요한지 • 브라우저·앱에서 직접 호출할지, 백엔드에서 호출할지	• 구글 클라우드 프로젝트 1개 (테스트용) • OAuth 동의 화면 기본 정보 (앱 이름, 이메일 등) • 간단한 데이터 흐름 다이어그램	• 사용자 OAuth 2.0을 사용하되, 최소 스코프(sheets.readonly 등)부터 시작하기 • 구글워크스페이스 API 인증 테스트 단계에서는 “테스트 사용자”를 지정하고 내부에서만 사용 후, 안정화되면 배포 채널을 확장하는 전략이 안전합니다.
서버에서 밤마다 돌아가는 배치/리포트 작업	• 어떤 시간대에, 어떤 계정 이름으로 작업이 돌아가야 하는지 • 읽기/쓰기 대상이 개인 문서인지, 조직 공유 리소스인지 • 실패 시 알림·재시도 정책	• 서비스 계정 1개 이상 (역할별로 분리 권장) • 서버 환경(Cloud Run, VM 등)에서 시크릿 관리 공간 • 모니터링/로그 대시보드 계획	• 백엔드에는 서비스 계정을 사용해 키 파일 또는 워크로드 아이덴티티 방식으로 인증 구성 • 구글워크스페이스 API 인증에서 서비스 계정이 접근해야 할 Drive/Sheets에 “공유 드라이브 멤버” 또는 “문서 권한”으로 초대하는 방식이 자주 사용됩니다.
조직 전체 계정·데이터에 접근해야 하는 관리용 도구	• 어떤 조직 단위(OU)에 대해 어떤 작업이 필요한지 • 사용자·그룹·라이선스·Drive 등 어떤 리소스에 접근하는지 • 감사·보안 팀과의 협의 여부	• 워크스페이스 슈퍼어드민 계정 (도메인 전체 위임 설정용) • 도메인 전체 위임이 필요한 스코프 목록 • 내부 보안/개인정보 보호 정책 정리	• 관리자 도구에는 “도메인 전체 위임된 서비스 계정”을 검토할 수 있습니다. • 이 경우 구글워크스페이스 API 인증에서 해당 서비스 계정이 조직 내 임의 사용자로 가장해 작업할 수 있으므로, 스코프를 최소화하고 접근 로그·감사를 반드시 설정하는 것이 중요합니다.
외부 고객/사용자를 대상으로 하는 SaaS·애드온 서비스	• 대상 사용자가 하나의 회사인지, 여러 조직/개인인지 • 어떤 개인정보/업무 데이터를 처리하는지 • 장기적으로 구글 심사/보안 검토를 통과할 준비가 되어 있는지	• 브랜드·앱 이름·아이콘·개인정보 처리방침 URL • 민감 스코프 사용 시 설명 문서·보안 설계 개요 • 에러/권한 거부 시 UX 설계	• 멀티 테넌트 서비스라면 각 사용자가 자신의 계정으로 OAuth 인증하고, 토큰을 테넌트별로 분리 저장하는 구조가 일반적입니다. • 구글워크스페이스 API 인증에서 외부 공개를 전제로 한다면 동의 화면·브랜드 신뢰·보안 문서를 초기에 함께 준비하는 것이 좋습니다.
민감 이메일·문서·드라이브 전체를 다루는 고위험 시나리오	• 어떤 데이터까지 접근해야 하는지(정말 “전체”가 필요한지) • 보안 사고 발생 시 영향 범위·대응 계획 • 접근 로그/감사 로그를 어디까지 남길지	• 최소 권한 스코프 설계안과 대체안(부분 스코프) • 접근 제어 정책(조직 단위, 그룹, IP 제한 등) • 주기적인 키 회전·권한 리뷰 계획	• 이런 경우에는 구글워크스페이스 API 인증을 개발·운영만의 이슈로 두지 말고, 보안·컴플라이언스 담당자와 함께 협의해야 합니다. • 도메인 전체 위임·전 계정 Drive 리스트업 등은 정말 필요한지 다시 검토하고, 가능하면 범위를 쪼개서 접근하는 전략이 안전합니다.

한마디로 정리하면, 구글워크스페이스 API 인증은 “키 하나 발급받는 기술”보다 “우리 조직에서 누가 어떤 데이터에 어떻게 접근해야 하는지”를 구조화하는 작업에 가깝습니다. 계정 종류·스코프·도메인 위임·키 관리·토큰 수명주기를 한 번만 큰 그림으로 그려 보면, 이후 언어·라이브러리가 달라져도 전체 설계의 방향은 쉽게 흔들리지 않습니다.

API 인증 성공/실패를 가르는 다섯 가지 축

계정 구조·권한 설계·보안·운영·UX까지 한 번에 보는 시야가 필요합니다.

대부분의 구글워크스페이스 API 인증 프로젝트는 아래 다섯 가지 축을 얼마나 잘 정리했는지에 따라 안정성이 달라집니다. 계정/조직 구조 이해, 스코프 최소화, 키·토큰 보안, 운영/모니터링, 사용자 경험. 어느 한쪽이라도 완전히 빠져 있으면, 초기에 잘 돌아가다가도 규모가 커질수록 리스크가 커지기 쉽습니다.

1) 계정·조직 구조를 이해하고 있는가

이 호출이 개인 Gmail 계정으로 가는지, 회사 워크스페이스 도메인으로 가는지, 서비스 계정이 대리 실행하는지 한 문장으로 설명할 수 있다면, 구글워크스페이스 API 인증의 절반은 이미 정리된 셈입니다.

주체 파악

누가 · 누구로

2) 스코프를 최소 권한으로 설계했는가

“나중에 쓸지도 몰라서”가 아니라 “지금 기능 구현에 꼭 필요한 범위”로 스코프를 좁혀 보는 연습이 필요합니다. 이것이야말로 구글워크스페이스 API 인증에서 보안과 심사를 모두 고려하는 가장 현실적인 팁입니다.

권한 다이어트

읽기부터 시작

3) 키·토큰을 안전하게 보관·교체할 구조가 있는가

서비스 계정 키 파일이 어디에 저장되는지, 누가 접근할 수 있는지, 주기적으로 교체할 계획이 있는지 점검해 보아야 합니다. 구글워크스페이스 API 인증에서 키 관리 실패는 곧바로 보안 사고로 이어질 수 있습니다.

시크릿 관리

노출 금지 · 회전

4) 장애·만료·권한 회수에 대한 운영 플랜이 있는가

토큰 만료나 권한 거부가 발생했을 때 사용자에게 어떤 메시지가 보이고, 어떻게 재인증을 유도할지까지 설계되어 있다면 구글워크스페이스 API 인증 기반 서비스는 훨씬 안정적으로 느껴집니다.

에러 플로우

재로그인 · 안내

5) 로그·감사 정보를 남길 준비가 되어 있는가

누가 언제 어떤 문서를 읽고/수정했는지에 대한 최소한의 로그를 남겨두면, 문제 발생 시 원인 파악과 책임 범위 구분이 훨씬 쉬워집니다. 이는 구글워크스페이스 API 인증을 “블랙박스”가 아닌 “투명한 시스템”으로 만드는 마지막 단계입니다.

감사 가능성

로그 · 추적

구글워크스페이스 API 인증, 이렇게 네 단계로 준비하면 덜 복잡합니다

1단계 · 시나리오·계정·데이터 범위 정리

어떤 기능을 만들고, 누구의 데이터에, 어느 정도 권한으로 접근해야 하는지 A4 한 장 정도에 정리합니다. 이 문서가 구글워크스페이스 API 인증 설계의 기준점이 됩니다.

2단계 · 구글 클라우드 프로젝트·인증 방식 선택

테스트/운영 프로젝트를 나누고, 사용자 OAuth·서비스 계정·도메인 전체 위임 중 무엇을 쓸지 결정합니다. 이때 필요한 스코프 목록을 함께 정리해 두면 이후 구글워크스페이스 API 인증 설정이 순조롭습니다.

3단계 · 키·토큰 관리 구조와 에러 플로우 설계

키를 어디에 저장하고, 누가 접근하며, 만료·권한 거부 시 어떤 화면과 안내를 보여줄지 정의합니다. 이 단계에서 구글워크스페이스 API 인증이 “한 번 돌고 끝”이 아닌, 운영 가능한 구조로 바뀝니다.

4단계 · 로그·보안·리뷰 루틴 만들기

프로젝트가 실제로 사용되기 시작하면 접근 로그·오류 로그를 주기적으로 확인하고, 스코프·키·도메인 위임 설정을 정기 점검합니다. 이 루틴이 구글워크스페이스 API 인증의 장기적인 품질을 결정합니다.

구글워크스페이스 API 인증 체크리스트 (셀프 점검용)

이 API 호출이 “누구의 이름으로” 실행되는지, 즉 사용자 계정인지 서비스 계정인지 한 문장으로 설명할 수 있나요?

지금 설정한 스코프 목록을 적어 보았을 때, 그중 당장 기능에 필요 없는 권한은 없는지 한 번 더 걸러 보았나요? 필요하다면 읽기 전용 스코프부터 시작할 수 있는지 검토해 보았나요?

서비스 계정 키 파일이나 클라이언트 시크릿이 깃 저장소·공용 드라이브·채팅방에 올라가 있지는 않은지, 시크릿 관리 방식이 정리되어 있나요?

토큰 만료·동의 철회·관리자 차단이 발생했을 때, 사용자 화면에는 어떤 메시지가 나오고, 어떤 버튼을 누르면 복구/재로그인이 가능한지 실제 화면 흐름을 머릿속에 그려 볼 수 있나요?

개발·테스트·운영 환경이 서로 다른 프로젝트·키·리디렉션 URL을 쓰고 있는지, 아니면 모든 것이 한 프로젝트에 섞여 있는지 확인해 보았나요?

오늘 설정한 구글워크스페이스 API 인증 구성을 A4 한 장짜리 도표나 문서로 정리해 두었나요? “3개월 뒤 새로운 사람이 봐도 이해할 수 있는가”를 기준으로 문서를 남겨 두면, 팀과 시스템 모두 훨씬 건강해집니다.

이 체크리스트를 하나씩 점검해 보면, 구글워크스페이스 API 인증은 더 이상 난해한 보안 기술이 아니라 “누가 어떤 데이터에 들어가도 되는지, 그 출입문을 설계하는 일”로 느껴질 것입니다. 중요한 것은 오늘 당장 토큰을 한 번 받아내는 것이 아니라, 앞으로 수많은 호출과 사람 교체 속에서도 안정적으로 굴러갈 수 있는 구조를 만드는 것입니다.

구글워크스페이스 API 인증 FAQ

언제 사용자 OAuth 2.0을 쓰고, 언제 서비스 계정을 써야 하나요?

사용자가 자신의 계정 데이터(Gmail, Drive, Calendar 등)에 앱이 접근하도록 허용하는 경우에는 사용자 OAuth 2.0이 기본입니다. 반대로 서버에서 정해진 계정·공유드라이브에 백엔드 작업을 돌릴 때는 서비스 계정이 더 알맞습니다. 구글워크스페이스 API 인증 설계 시 “내가 보는 데이터냐, 시스템 계정이 맡은 데이터냐”를 기준으로 나눠 보는 것이 좋습니다.

서비스 계정만으로는 사용자 개인 Gmail·Drive를 마음대로 볼 수 있나요?

일반적으로 서비스 계정은 자신의 리소스나 권한을 부여받은 문서에만 접근할 수 있습니다. 조직 전체 사용자로 가장해 작업하려면 워크스페이스 관리자 설정에서 도메인 전체 위임을 별도로 설정해야 합니다. 이 설정은 매우 강력하므로, 구글워크스페이스 API 인증 관점에서 꼭 필요한 최소 스코프에만 적용하는 것이 안전합니다.

OAuth 동의 화면에서 경고 메시지가 뜨는 이유는 무엇인가요?

승인되지 않은 앱이거나, 민감/제한된 스코프를 요청하는데 구글의 검토를 거치지 않은 경우 사용자에게 경고 화면이 보일 수 있습니다. 구글워크스페이스 API 인증에서 외부 사용자까지 대상으로 할 계획이라면, 동의 화면에 앱 정보·로고·정책 URL을 채워 넣고 필요한 경우 검토 절차도 준비해야 합니다.

액세스 토큰이 자꾸 만료됩니다. 매번 다시 로그인해야 하나요?

액세스 토큰은 의도적으로 짧은 수명을 가지며, 보통 리프레시 토큰과 함께 사용해 자동으로 재발급합니다. 코드에서 리프레시 토큰을 보관·재사용하면 사용자가 매번 로그인할 필요는 없습니다. 다만 보안상 위험을 줄이기 위해 구글워크스페이스 API 인증에서 리프레시 토큰 역시 안전하게 암호화·보관하는 것이 중요합니다.

테스트 환경과 운영 환경을 어떻게 나누는 것이 좋을까요?

일반적으로 구글 클라우드 프로젝트를 개발/스테이징/프로덕션으로 분리하고, 각 프로젝트 안에서 별도의 OAuth 클라이언트·서비스 계정·리디렉션 URL을 설정합니다. 이렇게 하면 테스트용 구글워크스페이스 API 인증 설정이 운영 키·토큰과 섞이지 않아 사고 위험을 크게 줄일 수 있습니다.

키나 토큰이 유출된 것 같으면 무엇부터 해야 하나요?

먼저 해당 키·클라이언트·서비스 계정의 자격증명을 즉시 회수/삭제하고, 의심되는 로그·사용 내역을 확인해야 합니다. 필요한 경우 비밀번호·2단계 인증·접근 권한도 함께 점검합니다. 구글워크스페이스 API 인증 설계 단계에서부터 유출 시 어떤 순서로 조치할지 간단한 대응 시나리오를 만들어 두면 실제 상황에서 큰 도움이 됩니다.

구글워크스페이스 API 인증, “개발자의 일”이 아니라 “조직 데이터 출입구 설계”라는 관점으로

많은 팀에서 API 이야기가 나오면 자연스럽게 개발자에게만 모든 것을 맡기게 됩니다. 그러나 실제로 구글워크스페이스 API 인증은 조직의 데이터 구조·권한·보안·업무 프로세스가 모두 얽혀 있는 주제입니다. “어떤 사람이 어떤 데이터에 들어가도 되는지”를 비즈니스 팀·보안 팀·IT 관리자가 함께 합의하지 않으면, 언젠가 권한 과다·데이터 유출·감사 리스크로 돌아올 수 있습니다.

그래서 구글워크스페이스를 본격적으로 자동화하고자 한다면, 인증을 단순 기술 설정이 아니라 “조직 데이터 출입구 설계 작업”으로 바라보는 것이 좋습니다. 오늘 정한 구글워크스페이스 API 인증 구조가 1년, 2년 뒤에도 이해 가능한지, 새로 합류한 동료에게 한 장 도표로 설명 가능한지 스스로에게 질문해 보세요. 그 질문에 답할 수 있는 설계라면, 이미 반 이상은 잘 만들어진 것입니다.