From 2e966609372502b6b822aa336401b6dbb753b78d Mon Sep 17 00:00:00 2001
From: hskwon <shine1324@gmail.com>
Date: Mon, 24 Nov 2025 13:10:26 +0900
Subject: [PATCH] =?UTF-8?q?fix:=20CORS=20preflight=20=EC=9A=94=EC=B2=AD=20?=
 =?UTF-8?q?=EC=B2=98=EB=A6=AC=20=EA=B0=9C=EC=84=A0=20=EB=B0=8F=20X-API-KEY?=
 =?UTF-8?q?=20=ED=97=A4=EB=8D=94=20=ED=97=88=EC=9A=A9?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

- CorsMiddleware: X-API-KEY 헤더를 Access-Control-Allow-Headers에 추가
- CorsMiddleware: OPTIONS 요청을 미들웨어 체인 진입 전에 즉시 처리하여 ApiKeyMiddleware 우회
- CorsMiddleware: PATCH 메서드 추가 및 Max-Age 86400초 설정
- ApiKeyMiddleware: 불필요한 OPTIONS 체크 로직 제거 (CorsMiddleware에서 이미 처리)

[근본 원인]
- React 프론트엔드에서 커스텀 헤더(X-API-KEY) 사용 시 브라우저가 자동으로 Preflight 요청(OPTIONS) 전송
- 기존 CorsMiddleware에서 X-API-KEY 헤더가 Allow-Headers 목록에 없어 CORS 정책 위반
- OPTIONS 요청이 ApiKeyMiddleware에서 401로 차단되어 Preflight 실패

[해결 방안]
- OPTIONS 요청은 CorsMiddleware에서 즉시 200 OK 응답 (인증 미들웨어 우회)
- X-API-KEY를 명시적으로 허용 헤더 목록에 추가
- 실제 GET/POST 요청은 기존대로 ApiKeyMiddleware에서 정상 검증
---
 app/Http/Middleware/CorsMiddleware.php | 18 ++++++++++++------
 1 file changed, 12 insertions(+), 6 deletions(-)

diff --git a/app/Http/Middleware/CorsMiddleware.php b/app/Http/Middleware/CorsMiddleware.php
index 068bbcb..6f6a18e 100644
--- a/app/Http/Middleware/CorsMiddleware.php
+++ b/app/Http/Middleware/CorsMiddleware.php
@@ -10,15 +10,21 @@ class CorsMiddleware
 {
     public function handle(Request $request, Closure $next): Response
     {
+        // OPTIONS 요청은 즉시 처리 (미들웨어 체인 진행 안 함)
+        if ($request->isMethod('OPTIONS')) {
+            return response()->json([], 200, [
+                'Access-Control-Allow-Origin' => '*',
+                'Access-Control-Allow-Methods' => 'GET, POST, PUT, DELETE, OPTIONS, PATCH',
+                'Access-Control-Allow-Headers' => 'Content-Type, Authorization, X-API-KEY',
+                'Access-Control-Max-Age' => '86400',
+            ]);
+        }
+
         $response = $next($request);
 
         $response->headers->set('Access-Control-Allow-Origin', '*');
-        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
-        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization');
-
-        if ($request->isMethod('OPTIONS')) {
-            return response()->json([], 200, $response->headers->all());
-        }
+        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS, PATCH');
+        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization, X-API-KEY');
 
         return $response;
     }