Hacker News 의견

• 개인적으로 사용자가 자신의 키를 가져오는 웹 앱을 만드는 것을 좋아함

  • 이 접근 방식은 실행 파일 배포의 편리함과 오픈 소스의 이점을 결합함
  • 두 가지 웹 앱을 개발해봤음
    • 마이크 입력을 사용하는 실시간 전사 및 번역 앱
    • SRT 자막을 다양한 언어로 번역하는 앱
  • "사용자 키 가져오기" 모델을 선택하는 두 가지 주요 이유
    • 낮은 유지보수: 많은 소프트웨어를 유지 보수하고 있어 사이드 프로젝트를 유지보수하고 싶지 않음
    • 낮은 비용: 광고 없이 앱을 배포할 수 있으며, 운영 비용을 낮출 수 있음
  • 유지보수 부담과 사용자 비용을 최소화하면서 유용한 도구를 만들고 공유할 수 있음

• 사용자가 자신의 키를 가져오는 상황에서는 문제가 되지 않음

  • 클라이언트 측에서 작업이 이루어지며, 장치나 웹사이트가 손상되지 않는 한 괜찮음
  • 그러나 개발자가 생산 키를 클라이언트 측에서 사용하는 경우 공격 표면이 증가할 수 있음
  • 편의성과 성능을 이유로 보안 고려 없이 이 작업을 수행할 수 있음

• JWT를 지원하지 않는 이유를 이해하지 못함

  • Supabase는 안전한 클라이언트 측 접근을 제공하는 좋은 예시임

• Anthropic과 모든 AI 벤더는 "Login with ___" 기능을 구현해야 함

  • 사용자가 자신의 AI 리소스를 신뢰할 수 있도록 해야 함
  • 대부분의 사용자는 API 키를 생성하고 로드하는 것을 번거로워하며 안전하게 관리할 수 없음

• 사용자가 자신의 키를 가져오는 경우 OAuth가 더 나은 솔루션임

  • 일부 개발자는 실제 키를 프론트엔드에 하드코딩하고 어려움을 겪을 수 있음
  • OAuth는 더 안전한 솔루션임

• 내부 개발에는 적합할 수 있지만 사용자 대상 앱에는 적합하지 않음