변경 로그

v0.1-alpha (2026-04-22 sync)

완료된 마일스톤 (GitHub tags 참조):

• m0-bootstrap — Rails 8 scaffold, Cloudflare/Render 체크리스트
• m1-auth — 기본 Auth (role + device_uuid + lockout)
• m2-oauth-core — OAuth 2.0 + PKCE S256 + JWKS + Refresh rotation
• m3-developer-portal — Developer Portal + Admin (iOS 26 Liquid Glass)
• m4-consent — Consent 화면 + Consent 레코드
• m5-cli — Personal API Keys + logi CLI (Ruby/Thor)
• m7-otp — TOTP 2FA + 백업 코드 + 민감작업 게이트
• m8-m10-security-observability — Passkey + Login Logs + Webhooks
• m12-m13 — Suspicious Detection + Admin Audit
• m6-ios-scaffold / m6-m11-ios-mcp — iOS 앱 + MCP 서버
• m14-docs — VitePress + Scalar 문서 사이트 + OpenAPI 3.1
• m15-android-scaffold / m15-complete — Android 앱 + Play Integrity round-trip + Sentry
• 2026-04-22 — /oauth/revoke (RFC 7009), /oauth/introspect (RFC 7662), 로그인 이력 90일 purge recurring job

알려진 제약

• 실제 Render / Cloudflare / GitHub Pages 프로덕션 배포 전
• 푸시 알림 (APNs/FCM) 미구현
• Play Integrity production decode 및 ANDROID_APP_CERT_SHA256 주입 미완료
• iOS associated domain은 api.1pass.dev 로 마이그레이션 완료 (v0.4, 2026-04-22)

로드맵 (β)

• β1: 동적 scope + required 마킹 (진행중)
• β2: 커스텀 claim (User#custom_claims 구현 완료)
• β3: 로그인 이력 알림 + APNs/FCM
• β5: 모바일 프로덕션 하드닝 (Play Integrity decode, cert fingerprint, associated domain 정리)