fix: 보안·안정성·동시성 개선 3차

- 입력 검증 강화 (로그인/체인 핸들러 전체)
- boss raid 비관적 잠금으로 동시성 문제 해결
- SSAFY 사용자명 sanitize + 트랜잭션 처리
- constant-time API 키 비교, 보안 헤더, graceful shutdown
- 안전하지 않은 기본값 경고 추가

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

pkg/middleware/auth.go

@@ -2,6 +2,7 @@ package middleware
 
 import (
 	"context"
+	"crypto/subtle"
 	"fmt"
 	"log"
 	"strings"
@@ -70,9 +71,11 @@ func AdminOnly(c *fiber.Ctx) error {
 }
 
 // ServerAuth validates X-API-Key header for server-to-server communication.
+// Uses constant-time comparison to prevent timing attacks.
 func ServerAuth(c *fiber.Ctx) error {
 	key := c.Get("X-API-Key")
-	if key == "" || config.C.InternalAPIKey == "" || key != config.C.InternalAPIKey {
+	expected := config.C.InternalAPIKey
+	if key == "" || expected == "" || subtle.ConstantTimeCompare([]byte(key), []byte(expected)) != 1 {
 		log.Printf("ServerAuth 실패: IP=%s, Path=%s, KeyPresent=%v", c.IP(), c.Path(), key != "")
 		return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{"error": "유효하지 않은 API 키입니다"})
 	}