page 전체 코드 품질/보안 개선 및 봇 RPC 검증 정합

[보안/인증]
- 모든 player/queue API 라우트에 세션 가드 추가 (이전: /api/servers 만 보호)
- NextAuth 환경변수 부팅 시점 검증, NEXTAUTH_SECRET 명시
- next.config.ts CSP/보안 헤더 추가, 잘못된 allowedDevOrigins 제거
- Redis 호스트 하드코딩 IP 제거(필수 env 로 강제)

[안정성]
- 봇 RPC 패턴(@/lib/api) 공용화: crypto.randomUUID requestId, JSON.parse 안전, EXPIRE 자동, 폴링 백오프
- SSE(@/lib/sse) 공용화: subscriber error 처리, JSON.parse 안전, 30초 keep-alive, abort/에러 정리
- pause API 양 끝(boolean) 정상화: 프론트 String() 캐스트 + 백엔드 .trim().toLowerCase() 비교 제거
- 봇 RedisClient: isPaused/index/seek/volume falsy 거부 → typeof 검사로 교체(0/false 정상 허용)

[타입/품질]
- next-auth 모듈 보강 → session.user.id, session.accessToken 타입 안전
- DiscordServer/Track/SearchTrack 공용 타입 도입, 컴포넌트 any 제거
- BigInt permissions 안전 검증(타입 가드)
- Logger: NODE_ENV 게이트, error → stderr, ISO 기반 안전 timestamp
- tsconfig target → ES2020 (BigInt 리터럴)

[취약점]
- next 16.2.2 → 16.2.4 (DoS/postcss XSS 패치)

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

page/src/app/api/auth/[...nextauth]/route.ts

@@ -1,11 +1,30 @@
 import NextAuth, { NextAuthOptions } from "next-auth";
 import DiscordProvider from "next-auth/providers/discord";
 
+// 환경변수 부팅 시점 검증 — 누락 시 즉시 실패
+const DISCORD_CLIENT_ID = process.env.DISCORD_CLIENT_ID?.trim();
+const DISCORD_CLIENT_SECRET = process.env.DISCORD_CLIENT_SECRET?.trim();
+const NEXTAUTH_SECRET = process.env.NEXTAUTH_SECRET?.trim();
+
+if (!DISCORD_CLIENT_ID || !DISCORD_CLIENT_SECRET) {
+  throw new Error("[NextAuth] DISCORD_CLIENT_ID/DISCORD_CLIENT_SECRET 환경변수가 설정되지 않았습니다.");
+}
+if (!NEXTAUTH_SECRET) {
+  throw new Error("[NextAuth] NEXTAUTH_SECRET 환경변수가 설정되지 않았습니다.");
+}
+
+interface DiscordProfile {
+  id?: string;
+  username?: string;
+  email?: string;
+}
+
 export const authOptions: NextAuthOptions = {
+  secret: NEXTAUTH_SECRET,
   providers: [
     DiscordProvider({
-      clientId: process.env.DISCORD_CLIENT_ID as string,
-      clientSecret: process.env.DISCORD_CLIENT_SECRET as string,
+      clientId: DISCORD_CLIENT_ID,
+      clientSecret: DISCORD_CLIENT_SECRET,
       // 🌟 핵심: 로그인할 때 유저의 기본 정보(identify)와 서버 목록(guilds) 권한을 같이 가져옵니다!
       authorization: { params: { scope: "identify email guilds" } },
     }),
@@ -16,15 +35,16 @@ export const authOptions: NextAuthOptions = {
   callbacks: {
     // 디스코드에서 받은 토큰(accessToken)을 우리 세션에 저장해두는 로직
     async jwt({ token, account, profile }) {
-      if (account && (profile as any)?.id) {
-        token.id = (profile as any).id;
+      const discordProfile = profile as DiscordProfile | undefined;
+      if (account && discordProfile?.id) {
+        token.id = discordProfile.id;
         token.accessToken = account.access_token;
       }
       return token;
     },
-    async session({ session, token }: any) {
-      session.user.id = token.id;
-      session.accessToken = token.accessToken;
+    async session({ session, token }) {
+      if (token.id) session.user.id = token.id;
+      if (token.accessToken) session.accessToken = token.accessToken;
       return session;
     },
   },
@@ -33,4 +53,4 @@ export const authOptions: NextAuthOptions = {
 const handler = NextAuth(authOptions);
 
 // App Router 환경에서는 GET과 POST 메서드를 둘 다 내보내야 합니다.
-export { handler as GET, handler as POST };
+export { handler as GET, handler as POST };