fix: 코드 리뷰 기반 보안·안정성 개선 2차

보안:
- RPC 응답 HTTP 상태코드 검증 (chain/client)
- SSAFY OAuth 에러 응답 내부 로깅으로 변경 (제3자 상세 노출 제거)
- resolveUsername에서 username 노출 제거
- LIKE 쿼리 특수문자 이스케이프 (bossraid/repository)
- 파일명 경로 순회 방지 + 길이 제한 (download/handler)
- ServerAuth 실패 로깅 추가

안정성:
- AutoMigrate 에러 시 서버 종료
- GetLatest() 에러 시 nil 반환 (초기화 안 된 포인터 방지)
- 멱등성 캐시 저장 시 새 context 사용
- SSAFY HTTP 클라이언트 타임아웃 10s
- io.ReadAll/rand.Read 에러 처리
- Login에서 DB 에러/Not Found 구분

검증 강화:
- 중복 플레이어 검증 (bossraid/service)
- username 길이 제한 50자 (auth/handler, bossraid/handler)
- 역할 변경 시 세션 무효화
- 지갑 복호화 실패 로깅

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

internal/bossraid/handler.go

@@ -32,6 +32,11 @@ func (h *Handler) RequestEntry(c *fiber.Ctx) error {
 	if len(req.Usernames) == 0 || req.BossID <= 0 {
 		return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "usernames와 bossId는 필수입니다"})
 	}
+	for _, u := range req.Usernames {
+		if len(u) == 0 || len(u) > 50 {
+			return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{"error": "유효하지 않은 username입니다"})
+		}
+	}
 
 	room, err := h.svc.RequestEntry(req.Usernames, req.BossID)
 	if err != nil {

internal/bossraid/repository.go

@@ -1,6 +1,10 @@
 package bossraid
 
-import "gorm.io/gorm"
+import (
+	"strings"
+
+	"gorm.io/gorm"
+)
 
 type Repository struct {
 	db *gorm.DB
@@ -29,7 +33,9 @@ func (r *Repository) FindBySessionName(sessionName string) (*BossRoom, error) {
 // CountActiveByUsername checks if a player is already in an active boss raid.
 func (r *Repository) CountActiveByUsername(username string) (int64, error) {
 	var count int64
-	search := `"` + username + `"`
+	// LIKE 특수문자 이스케이프
+	escaped := strings.NewReplacer("%", "\\%", "_", "\\_").Replace(username)
+	search := `"` + escaped + `"`
 	err := r.db.Model(&BossRoom{}).
 		Where("status IN ? AND players LIKE ?",
 			[]RoomStatus{StatusWaiting, StatusInProgress},

internal/bossraid/service.go

@@ -33,6 +33,15 @@ func (s *Service) RequestEntry(usernames []string, bossID int) (*BossRoom, error
 		return nil, fmt.Errorf("최대 3명까지 입장할 수 있습니다")
 	}
 
+	// 중복 플레이어 검증
+	seen := make(map[string]bool, len(usernames))
+	for _, u := range usernames {
+		if seen[u] {
+			return nil, fmt.Errorf("중복된 플레이어가 있습니다: %s", u)
+		}
+		seen[u] = true
+	}
+
 	// Check if any player is already in an active room
 	for _, username := range usernames {
 		count, err := s.repo.CountActiveByUsername(username)