page 전체 코드 품질/보안 개선 및 봇 RPC 검증 정합

[보안/인증]
- 모든 player/queue API 라우트에 세션 가드 추가 (이전: /api/servers 만 보호)
- NextAuth 환경변수 부팅 시점 검증, NEXTAUTH_SECRET 명시
- next.config.ts CSP/보안 헤더 추가, 잘못된 allowedDevOrigins 제거
- Redis 호스트 하드코딩 IP 제거(필수 env 로 강제)

[안정성]
- 봇 RPC 패턴(@/lib/api) 공용화: crypto.randomUUID requestId, JSON.parse 안전, EXPIRE 자동, 폴링 백오프
- SSE(@/lib/sse) 공용화: subscriber error 처리, JSON.parse 안전, 30초 keep-alive, abort/에러 정리
- pause API 양 끝(boolean) 정상화: 프론트 String() 캐스트 + 백엔드 .trim().toLowerCase() 비교 제거
- 봇 RedisClient: isPaused/index/seek/volume falsy 거부 → typeof 검사로 교체(0/false 정상 허용)

[타입/품질]
- next-auth 모듈 보강 → session.user.id, session.accessToken 타입 안전
- DiscordServer/Track/SearchTrack 공용 타입 도입, 컴포넌트 any 제거
- BigInt permissions 안전 검증(타입 가드)
- Logger: NODE_ENV 게이트, error → stderr, ISO 기반 안전 timestamp
- tsconfig target → ES2020 (BigInt 리터럴)

[취약점]
- next 16.2.2 → 16.2.4 (DoS/postcss XSS 패치)

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

page/src/app/api/player/pause/route.ts

@@ -1,43 +1,46 @@
 import { NextResponse } from "next/server";
-import { Redis } from "@/lib/Redis";
+import { Logger } from "@/lib/Logger";
+import {
+  botRpc,
+  errorResponse,
+  readJsonBody,
+  requireBoolean,
+  requireSession,
+  requireString,
+} from "@/lib/api";
+
+interface PauseBody {
+  serverId?: unknown;
+  isPaused?: unknown;
+}
 
 export async function POST(request: Request) {
   try {
-    const body = await request.json();
-    const { serverId, userId, isPaused } = body;
-    if (!serverId) return NextResponse.json({ error: "serverId 정보가 필요합니다." }, { status: 400 });
-    if (!userId) return NextResponse.json({ error: "userId 정보가 필요합니다." }, { status: 400 });
-    if (!isPaused) return NextResponse.json({ error: "isPaused 정보가 필요합니다." }, { status: 400 });
+    const sessionResult = await requireSession();
+    if (!sessionResult.ok) return sessionResult.response;
+    const userId = sessionResult.session.user.id;
 
-    const requestId = `req:${Date.now()}-${Math.random().toString(36).substring(7)}`;
-    const resultKey = `player:paused:${requestId}`; // 봇이 대답을 남길 Redis 방 이름
+    const bodyResult = await readJsonBody<PauseBody>(request);
+    if (!bodyResult.ok) return bodyResult.response;
 
-    // 봇에게 'player_pause' 명령 전송
-    await Redis.publish("site-bot", JSON.stringify({
-      action: "player_paused",
-      requestId: requestId,
-      serverId: serverId,
-      userId: userId,
-      isPaused: isPaused,
-    }));
+    const serverIdResult = requireString(bodyResult.data.serverId, "serverId");
+    if (!serverIdResult.ok) return serverIdResult.response;
 
-    // 3. 봇의 대답 기다리기 (최대 약 3초 대기)
-    for (let i = 0; i < 15; i++) {
-      await new Promise(resolve => setTimeout(resolve, 200)); // 0.2초씩 대기
-      const botReply = await Redis.get(resultKey);
-      if (botReply) {
-        // 봇이 대답을 남겼다면! 읽었으니 Redis에서 삭제하고 프론트로 전달
-        await Redis.del(resultKey);
-        const replyData = JSON.parse(botReply);
-        // replyData.success 가 false면 에러 상태코드(400)로 보냄
-        return NextResponse.json(replyData, { status: replyData.success ? 200 : 400 });
-      }
-    }
+    const isPausedResult = requireBoolean(bodyResult.data.isPaused, "isPaused");
+    if (!isPausedResult.ok) return isPausedResult.response;
 
-    // 3초가 지나도 봇이 묵묵부답일 때
-    return NextResponse.json({ success: false, message: "봇이 응답하지 않거나 오프라인 상태입니다." }, { status: 504 });
+    const { status, body } = await botRpc({
+      channel: "player:paused",
+      payload: {
+        action: "player_paused",
+        serverId: serverIdResult.value,
+        userId,
+        isPaused: isPausedResult.value,
+      },
+    });
+    return NextResponse.json(body, { status });
   } catch (error) {
-    console.error("Play API Error:", error);
-    return NextResponse.json({ error: "서버 오류가 발생했습니다." }, { status: 500 });
+    Logger.error(`player/pause API error: ${error instanceof Error ? error.message : String(error)}`);
+    return errorResponse("서버 오류가 발생했습니다.", 500);
   }
-}
+}