feat: 코드 리뷰 기반 전면 개선 — 보안, 검증, 테스트, 안정성

- 체인 nonce 경쟁 조건 수정 (operatorMu + per-user mutex)
- 등록/SSAFY 원자적 트랜잭션 (wallet+profile 롤백 보장)
- IdempotencyRequired 미들웨어 (SETNX 원자적 클레임)
- 런치 티켓 API (JWT URL 노출 방지)
- HttpOnly 쿠키 refresh token
- SSAFY OAuth state 파라미터 (CSRF 방지)
- Refresh 시 DB 조회로 최신 role 사용
- 공지사항/유저목록 페이지네이션
- BodyLimit 미들웨어 (1MB, upload 제외)
- 입력 검증 강화 (닉네임, 게임데이터, 공지 길이)
- 에러 메시지 내부 정보 노출 방지
- io.LimitReader (RPC 10MB, SSAFY 1MB)
- RequestID 비출력 문자 제거
- 단위 테스트 (auth 11, announcement 9, bossraid 16)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

pkg/middleware/bodylimit.go

@@ -0,0 +1,28 @@
+package middleware
+
+import (
+	"strings"
+
+	"github.com/gofiber/fiber/v2"
+)
+
+// BodyLimit rejects requests whose Content-Length header exceeds maxBytes.
+// NOTE: Only checks Content-Length header. Chunked requests without Content-Length
+// bypass this check. Fiber's global BodyLimit provides the final safety net.
+// Paths matching any of the excludePrefixes are skipped (e.g. upload endpoints
+// that legitimately need the global 4GB limit).
+func BodyLimit(maxBytes int, excludePrefixes ...string) fiber.Handler {
+	return func(c *fiber.Ctx) error {
+		for _, prefix := range excludePrefixes {
+			if strings.HasPrefix(c.Path(), prefix) {
+				return c.Next()
+			}
+		}
+		if c.Request().Header.ContentLength() > maxBytes {
+			return c.Status(fiber.StatusRequestEntityTooLarge).JSON(fiber.Map{
+				"error": "요청이 너무 큽니다",
+			})
+		}
+		return c.Next()
+	}
+}