feat: API Key 보안 강화 및 Rate Limiting 구현

- 글로벌 미들웨어로 API Key 검증 적용
- 화이트리스트 확장 (Swagger, Health check 등)
- Rate Limiting 미들웨어 추가 (10회/분)
- 보안 로그 강화 (무단 접근 시도 기록)
- 민감 정보 로깅 제외 (password 필드)

app/Http/Middleware/ApiKeyMiddleware.php

@@ -14,21 +14,51 @@ class ApiKeyMiddleware
 {
     public function handle(Request $request, Closure $next)
     {
-        // 요청 정보 저장 (예: DB, Log 파일 등)
-        Log::info('API Request', [
-            'ip' => $request->ip(),
-            'user_id' => optional($request->user())->id,
-            'method' => $request->method(),
-            'uri' => $request->getRequestUri(),
-            'input' => $request->all(),
-            'headers' => $request->headers->all(),
-        ]);
+        // 화이트리스트(인증 예외 라우트) - API Key 검증 제외
+        $publicRoutes = [
+            'api/v1/login',
+            'api/v1/signup',
+            'api/v1/register',
+            'api/v1/refresh',
+            'api/v1/debug-apikey',
+            'api-docs',          // Swagger UI
+            'api-docs/*',        // Swagger 하위 경로
+            'docs/api-docs.json', // Swagger JSON
+            'up',                // Health check
+        ];
 
+        $currentRoute = $request->route()?->uri() ?? $request->path();
+
+        // 화이트리스트 패턴 매칭 (와일드카드 지원)
+        $isPublicRoute = false;
+        foreach ($publicRoutes as $pattern) {
+            if ($pattern === $currentRoute || fnmatch($pattern, $currentRoute)) {
+                $isPublicRoute = true;
+                break;
+            }
+        }
+
+        // 공개 라우트가 아닌 경우에만 요청 정보 로깅
+        if (! $isPublicRoute) {
+            Log::info('API Request', [
+                'ip' => $request->ip(),
+                'user_id' => optional($request->user())->id,
+                'method' => $request->method(),
+                'uri' => $request->getRequestUri(),
+                'input' => $request->except(['password', 'password_confirmation']), // 민감 정보 제외
+                'user_agent' => $request->userAgent(),
+            ]);
+        }
+
+        // 공개 라우트는 API Key 검증 스킵
+        if ($isPublicRoute) {
+            return $next($request);
+        }
+
+        // API Key 검증
         $apiKey = $request->header('X-API-KEY');
-
         $validApiKey = false;
 
-        // 1. API 키가 유효한지 확인
         if ($apiKey) {
             $validApiKey = DB::table('api_keys')
                 ->where('key', $apiKey)
@@ -37,6 +67,14 @@ public function handle(Request $request, Closure $next)
         }
 
         if (! $validApiKey) {
+            // 보안 로그 기록 (API Key 없이 접근 시도)
+            Log::warning('Unauthorized API access attempt', [
+                'ip' => $request->ip(),
+                'uri' => $request->getRequestUri(),
+                'method' => $request->method(),
+                'user_agent' => $request->userAgent(),
+            ]);
+
             return response()->json(['message' => 'Unauthorized. Invalid or missing API key'], 401);
         }