- CorsMiddleware: X-API-KEY 헤더를 Access-Control-Allow-Headers에 추가
- CorsMiddleware: OPTIONS 요청을 미들웨어 체인 진입 전에 즉시 처리하여 ApiKeyMiddleware 우회
- CorsMiddleware: PATCH 메서드 추가 및 Max-Age 86400초 설정
- ApiKeyMiddleware: 불필요한 OPTIONS 체크 로직 제거 (CorsMiddleware에서 이미 처리)
[근본 원인]
- React 프론트엔드에서 커스텀 헤더(X-API-KEY) 사용 시 브라우저가 자동으로 Preflight 요청(OPTIONS) 전송
- 기존 CorsMiddleware에서 X-API-KEY 헤더가 Allow-Headers 목록에 없어 CORS 정책 위반
- OPTIONS 요청이 ApiKeyMiddleware에서 401로 차단되어 Preflight 실패
[해결 방안]
- OPTIONS 요청은 CorsMiddleware에서 즉시 200 OK 응답 (인증 미들웨어 우회)
- X-API-KEY를 명시적으로 허용 헤더 목록에 추가
- 실제 GET/POST 요청은 기존대로 ApiKeyMiddleware에서 정상 검증
주요 작업:
- ItemMaster API 통합 테스트 작성 (12개 테스트, 100% 통과)
- 로그인 → API 호출 실제 플로우 시뮬레이션
- CustomTab, UnitOption CRUD 및 Reorder 테스트
버그 수정:
- ApiKeyMiddleware: 로그인 엔드포인트 API Key 필수화
- ReorderRequest: validation 규칙 수정 (범용성 확보)
- 5개 Controller: ApiResponse namespace 수정
- routes/api.php: reorder 라우트 순서 수정
마이그레이션:
- section_templates, tab_columns 테이블 추가
테스트 결과: 12/12 통과 (82 assertions)
- AuthService: 토큰 발급/갱신 통합 관리
- RefreshController: POST /api/v1/refresh 엔드포인트 추가
- 액세스 토큰 2시간, 리프레시 토큰 7일 (.env 설정)
- TOKEN_EXPIRED 에러 코드로 프론트엔드 자동 리프레시 지원
- 리프레시 토큰 일회성 사용 (보안 강화)
- Swagger 문서 Auth 태그로 통합
