fix: CORS preflight 요청 처리 개선 및 X-API-KEY 헤더 허용

- CorsMiddleware: X-API-KEY 헤더를 Access-Control-Allow-Headers에 추가
- CorsMiddleware: OPTIONS 요청을 미들웨어 체인 진입 전에 즉시 처리하여 ApiKeyMiddleware 우회
- CorsMiddleware: PATCH 메서드 추가 및 Max-Age 86400초 설정
- ApiKeyMiddleware: 불필요한 OPTIONS 체크 로직 제거 (CorsMiddleware에서 이미 처리)

[근본 원인]
- React 프론트엔드에서 커스텀 헤더(X-API-KEY) 사용 시 브라우저가 자동으로 Preflight 요청(OPTIONS) 전송
- 기존 CorsMiddleware에서 X-API-KEY 헤더가 Allow-Headers 목록에 없어 CORS 정책 위반
- OPTIONS 요청이 ApiKeyMiddleware에서 401로 차단되어 Preflight 실패

[해결 방안]
- OPTIONS 요청은 CorsMiddleware에서 즉시 200 OK 응답 (인증 미들웨어 우회)
- X-API-KEY를 명시적으로 허용 헤더 목록에 추가
- 실제 GET/POST 요청은 기존대로 ApiKeyMiddleware에서 정상 검증

app/Http/Middleware/CorsMiddleware.php

@@ -10,15 +10,21 @@ class CorsMiddleware
 {
     public function handle(Request $request, Closure $next): Response
     {
+        // OPTIONS 요청은 즉시 처리 (미들웨어 체인 진행 안 함)
+        if ($request->isMethod('OPTIONS')) {
+            return response()->json([], 200, [
+                'Access-Control-Allow-Origin' => '*',
+                'Access-Control-Allow-Methods' => 'GET, POST, PUT, DELETE, OPTIONS, PATCH',
+                'Access-Control-Allow-Headers' => 'Content-Type, Authorization, X-API-KEY',
+                'Access-Control-Max-Age' => '86400',
+            ]);
+        }
+
         $response = $next($request);
 
         $response->headers->set('Access-Control-Allow-Origin', '*');
-        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
-        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization');
-
-        if ($request->isMethod('OPTIONS')) {
-            return response()->json([], 200, $response->headers->all());
-        }
+        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS, PATCH');
+        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization, X-API-KEY');
 
         return $response;
     }