인증 헤더

기본 형식

Authorization: McpKey <KEY>

또는 (호환):

Authorization: Bearer <KEY>

(<KEY> 자리에 실제 키 값)

키 종류

키	길이	헤더 prefix
User API Key	24	McpKey 또는 Bearer
MCP Key	64	McpKey 또는 Bearer

자세히: API Key 인증.

인증 없이 호출 가능 도구 (예외 3개)

tools/list + 온보딩 2개:

• tools/list — 도구 카탈로그 조회
• signup_and_get_key
• login_and_get_key
• get_setup_guide

이 4개는 헤더 없이 200 응답.

다른 도구 헤더 없이 호출 시:

{
  "error": {
    "code": -32001,
    "message": "Unauthorized: missing or invalid Authorization header"
  }
}

키 마스킹

응답에서 키가 표시되는 경우 마지막 4자만:

Mcp Key (created): h7Ax...QWERTY (last 4 chars shown after first display)

전체 키는 발급 직후에만 한 번 표시.

사용량 헤더

응답에 사용량 정보:

X-RateLimit-Limit: 120
X-RateLimit-Remaining: 87
X-RateLimit-Reset: 1746662400      # Unix timestamp
X-Usage-Today: 1234
X-Usage-Today-Limit: 20000

CORS

브라우저 직접 호출 (셀프호스팅 등):

Access-Control-Allow-Origin: https://your-domain.example.com
Access-Control-Allow-Headers: Content-Type, Authorization

기본 api.ainote.dev 는 * 안 함 → 백엔드 또는 MCP 클라이언트 통해.

SSO / OAuth (계획됨)

v0.5+:

• Google / Apple SSO 로 키 발급
• OAuth 2.0 flow (PKCE)
• 단명 access token + refresh token

다음

• API Key 인증 가이드
• JSON-RPC 형식
• 에러 코드