docs: v2 문서 인증·명령어 기준 정합성 동기화

현재 정책(로컬 로그인 기본, OAuth 선택)과 pnpm 표준을 문서 전반에 일치시켜 설치/보안/로드맵 해석 차이를 줄입니다.

Author: SOIV

docs/v2_FINANCIAL-LEDGER/README.md

@@ -71,8 +71,9 @@ docker-compose up -d
 ```bash
 git clone https://github.com/Fieldstack-Project/fieldstack.git
 cd fieldstack
-npm install
-npm run start
+pnpm install
+pnpm build
+pnpm start
 
 # 브라우저 자동 열림
 → http://localhost:3000/install
@@ -169,7 +170,7 @@ npm run start
 
 - **Backend**: TypeScript + Node.js
 - **Frontend**: React + TypeScript + Vite
-- **Database**: PostgreSQL / SQLite / Supabase / MongoDB 외 모든 DB 종류 및 서비스
+- **Database**: PostgreSQL / SQLite / Supabase / MongoDB (우선 지원)
 - **Monorepo**: pnpm workspace
 - **AI**: Gemini / OpenAI / Claude / Ollama 등 API를 등록할 수 있는 모든 AI 서비스
 - **Deployment**: Docker / Railway / Cloudflare

docs/v2_FINANCIAL-LEDGER/_drafts/authentication_modes_draft.md

@@ -2,117 +2,111 @@
 
 ## 개요
 
-Fieldstack는 기본적으로 외부 인증 제공자(OAuth 기반)를 사용하는 웹 서비스 환경을 전제로 설계된다.
-이는 사용자 편의성과 보안, 그리고 운영 부담을 최소화하기 위한 선택이다.
+Fieldstack는 현재 **이메일 + 비밀번호 기반 로컬 로그인**을 기본 인증 방식으로 사용한다.
+이 문서는 과거 외부 OAuth(구글 로그인) 중심 초안을 정리하고,
+현행 정책 기준에서 인증 모드 확장 방향을 다시 기록하기 위한 초안이다.
 
-그러나 특정 환경(관공서, 세무 관련 기관, 폐쇄망, 내부망 등)에서는
-외부 인증 제공자의 사용이 제한되거나 금지될 수 있다.
-
-본 문서는 이러한 상황을 대비하여,
-Fieldstack가 **인증 방식의 확장 또는 분리된 운영 모드**를 어떻게 다룰 것인지에 대한
-초안 수준의 정책과 설계 방향을 기록한다.
-
-이 문서는 현재 구현을 전제로 하지 않으며,
-향후 필요 시 참고 및 확장 목적으로 유지된다.
+본 문서는 현재 구현 완료 상태를 의미하지 않으며,
+향후 요구사항 변경 시 참고할 설계 기준을 보존하는 목적을 가진다.
 
 ---
 
 ## 기본 인증 정책
 
 Fieldstack의 기본 공개 버전은 다음 인증 정책을 따른다.
 
-- 외부 인증 제공자(OAuth 기반) 사용
-- 별도의 자체 계정 관리 기능 제공하지 않음
-- 비밀번호 저장, 관리 책임을 시스템이 직접 지지 않음
+- 이메일 + 비밀번호 로그인 기본/필수
+- 비밀번호는 안전한 해시(예: Argon2id)로 저장
+- Whitelist 기반 접근 제어 적용
+- 필요 시 TOTP/Passkey/OAuth는 선택 기능으로 확장 가능
 
-이 정책은 프로젝트의 기본 보안 모델이며,
-일반 사용자 환경에서는 변경되지 않는다.
+즉, 기본 모델은 "외부 계정 의존"이 아니라
+"로컬 계정 기반 + 선택 확장"이다.
 
 ---
 
 ## 제한 환경에서의 사용 시나리오
 
-다음과 같은 환경에서는 기본 인증 정책을 적용하기 어렵다.
+다음과 같은 환경에서는 인증 정책이 더 엄격하게 요구될 수 있다.
 
 - 관공서, 세무소, 공공기관
 - 외부 인터넷 접근이 제한된 내부망
 - 외부 계정 연동이 정책적으로 금지된 조직
 - 감사 및 책임 주체가 명확히 요구되는 환경
 
-이러한 경우, 단순한 로그인 방식 추가가 아닌
-**운영 환경 자체가 다른 배포 형태**로 간주한다.
+이 경우 핵심은 OAuth 제거 자체가 아니라,
+기본 로컬 인증에 추가 보안/운영 통제를 적용하는 방식이다.
 
 ---
 
 ## 운영 모드 분리 원칙
 
-Fieldstack는 인증 방식의 차이를
-단일 서비스 내 옵션으로 흡수하지 않는다.
+Fieldstack는 인증 요구 차이를
+단일 설정 토글 하나로 단순화하지 않는다.
 
-대신, 다음과 같은 원칙을 따른다.
+대신 다음 원칙을 따른다.
 
-- 인증 정책이 다른 경우, 별도의 운영 모드로 분리
-- 기존 공개 버전과 코드, 배포, 설정을 논리적으로 분리
-- 기본 버전의 보안 모델을 훼손하지 않음
+- 기본 모드: 로컬 계정(이메일/비밀번호) 중심 운영
+- 제한 모드: 정책 요구에 맞춘 보안 통제(2FA 강제, 감사 강화, 계정 프로비저닝 제약) 추가
+- 모드별 설정, 운영 가이드, 감사 기준을 명확히 분리
 
-이로 인해, 제한 환경 대응은
-"기능 추가"가 아닌 "별도 버전 제공"으로 취급된다.
+따라서 인증 변화는 단순 UI 옵션이 아니라
+운영 정책 단위에서 관리한다.
 
 ---
 
-## 인증 제공자 추상화
+## 인증 모드 추상화
 
 향후 확장을 대비하여,
-Fieldstack Core는 인증 방식의 구현 세부를 직접 다루지 않는다.
+Fieldstack Core는 특정 로그인 공급자 구현에 직접 결합되지 않는다.
 
-Core는 다음과 같은 추상 인터페이스만을 전제로 한다.
+Core는 다음 공통 인터페이스를 전제로 한다.
 
 - 사용자 인증 요청
 - 인증 결과 검증
-- 세션 또는 토큰 처리
+- 세션 또는 토큰 발급/검증
+- 권한/역할 컨텍스트 전달
 
-구체적인 인증 방식은
-외부 인증 제공자 또는 내부 인증 시스템에 의해 구현된다.
+구체 구현은 로컬 인증, 선택 OAuth, Passkey 등
+개별 어댑터에서 담당한다.
 
-이 추상화는:
-- 기본 버전의 단순성 유지
-- 별도 운영 모드 개발 시 영향 최소화
-를 목적으로 한다.
+이 추상화의 목적은 다음과 같다.
+- 기본 인증 정책의 안정성 유지
+- 인증 수단 추가 시 기존 모듈 영향 최소화
 
 ---
 
 ## 별도 운영 모드 (예: Gov / Enterprise)
 
-제한 환경을 위한 운영 모드는 다음과 같은 특성을 가질 수 있다.
+제한 환경을 위한 운영 모드는 다음 특성을 가질 수 있다.
 
-- 외부 OAuth 사용하지 않음
-- 내부 계정 또는 조직 계정 기반 인증
-- 관리자 주도 계정 생성 및 관리
+- 로컬 계정 기반 인증만 허용 (선택 OAuth 비활성)
+- 관리자 주도 계정 생성/비활성/복구 절차 적용
+- TOTP 2FA 강제 정책 적용
 - 감사 로그 및 접근 기록 강화
 - 네트워크 격리 환경 전제
 
-이 모드는 기본 공개 버전과는
-배포, 설정, 운영 측면에서 독립적으로 관리된다.
+이 모드는 기본 공개 버전과
+설정, 운영 절차, 컴플라이언스 기준에서 독립적으로 관리한다.
 
 ---
 
 ## 문서 상태
 
 본 문서는 **초안(Draft)** 상태이다.
 
-- 현재 구현 계획에는 포함되지 않는다.
-- 즉시 개발을 의미하지 않는다.
+- 현재 구현 계획의 확정 사양이 아니다.
+- 즉시 개발 항목을 의미하지 않는다.
 - 향후 요청 또는 필요 발생 시 참고 자료로 활용된다.
 
-설계 방향과 판단 근거를 보존하는 것을
-유일한 목적으로 한다.
+설계 방향과 의사결정 근거를 보존하는 것이
+유일한 목적이다.
 
 ---
 
 ## 요약
 
-- Fieldstack는 기본적으로 외부 인증 제공자를 사용한다.
-- 인증 방식이 다른 요구는 별도 운영 모드로 분리한다.
-- 로그인 방식 추가는 기능 요청이 아닌 제품 분기다.
-- 본 문서는 미래 확장을 대비한 설계 기록이다.
-
+- Fieldstack의 기본 인증은 이메일 + 비밀번호 기반 로컬 로그인이다.
+- OAuth(구글 로그인)는 기본이 아닌 선택 확장 옵션이다.
+- 인증 정책 차이는 운영 모드 단위로 분리해 관리한다.
+- 본 문서는 미래 확장을 대비한 설계 기록 초안이다.

docs/v2_FINANCIAL-LEDGER/architecture/01-decisions.md

@@ -97,12 +97,12 @@
    ↓
 2. 모달 표시: "설치 중..." (진행률 표시)
    ↓
-3. Backend 백그라운드 작업:
-   - Git clone
-   - 보안 검사
-   - npm install
-   - DB 마이그레이션
-   - 런타임 로드
+3. Backend 백그라운드 작업:
+   - Git clone
+   - 보안 검사
+   - pnpm install
+   - DB 마이그레이션
+   - 런타임 로드
    ↓
 4. WebSocket으로 Frontend에 알림
    ↓
@@ -216,10 +216,10 @@ reloadModule 메서드는 개발 모드에서 사용되는 Hot Reload 기능입
    - 스마트폰 잠금과 동일한 UX
    - 숫자 패드로 빠른 입력
 
-3. **구현 단순성**
-   - bcrypt/pbkdf2로 안전하게 저장
-   - 세션 관리 간단
-   - 2FA보다 복잡도 낮음
+3. **구현 단순성**
+   - Argon2id(비밀번호) / PBKDF2(PIN)로 목적별 저장
+   - 세션 관리 간단
+   - 2FA보다 복잡도 낮음
 
 ### 🎯 구현 방향
 

docs/v2_FINANCIAL-LEDGER/roadmap/00-goals.md

@@ -122,9 +122,10 @@
 > "안전하고 신뢰할 수 있는 시스템"
 
 **의미:**
-- Google OAuth 인증
+- 이메일 + 비밀번호 기반 로컬 로그인(기본)
+- 선택 로그인 확장(OAuth/Passkey)
 - Whitelist 기반 접근 제어
-- 관리자 비밀번호
+- 관리자 PIN 기반 보호
 - 암호화된 데이터
 
 **측정 기준:**

docs/v2_FINANCIAL-LEDGER/technical/00-tech-stack.md

@@ -6,12 +6,17 @@
 - **Node.js** 20+
 - **TypeScript** 5.0+
 
-### 프레임워크
-- **Express** 또는 **Fastify**
-  - REST API
-  - Middleware 시스템
-  - 라우팅
-  - **정적 파일 서빙** (프로덕션)
+### 프레임워크
+- **Express** (기본)
+  - REST API
+  - Middleware 시스템
+  - 라우팅
+  - **정적 파일 서빙** (프로덕션)
+- **Fastify** (대안)
+  - REST API
+  - Middleware 시스템
+  - 라우팅
+  - 고성능 서버 옵션
 
 ### 데이터베이스
 **다중 Provider 지원:**
@@ -26,16 +31,20 @@
   - 마이그레이션 관리
   - Multi-provider 지원
 
-### 인증
-- **Passport.js**
-  - Google OAuth 2.0
-  - 전략 패턴
-- **JWT** - 세션 관리
-
-### 검증
-- **Zod** 또는 **Yup**
-  - 스키마 검증
-  - TypeScript 통합
+### 인증
+- **로컬 인증 (기본)**
+  - 이메일 + 비밀번호
+  - Argon2id 해시 저장
+- **선택 인증 확장**
+  - Google OAuth 2.0 (선택)
+  - Passkey/WebAuthn (선택)
+- **JWT** - 세션 관리
+
+### 검증
+- **Zod** (기본)
+  - 스키마 검증
+  - TypeScript 통합
+- **Yup** (대안)
 
 ### 스케줄링
 - **node-cron**
@@ -373,9 +382,10 @@ pnpm-workspace.yaml 파일에서 워크스페이스 범위를 정의합니다. p
 
 ## 보안
 
-### 암호화
-- **bcrypt** - 비밀번호 해싱
-- **crypto** (Node.js 내장) - 토큰 암호화
+### 암호화
+- **Argon2id** - 비밀번호 해싱
+- **PBKDF2** - 관리자 PIN 해싱
+- **crypto** (Node.js 내장) - 토큰 암호화
 
 ### 환경 변수
 - **dotenv**
@@ -576,4 +586,4 @@ NODE_ENV를 'production'으로, PORT를 3000으로 설정합니다. SERVE_FRONTE
 ### 인프라
 - [ ] Kubernetes 지원
 - [ ] 분산 데이터베이스
-- [ ] 로드 밸런싱
+- [ ] 로드 밸런싱