릴리스: v0.1.43 토스트와 즐겨찾기 추가

.dockerignore

@@ -0,0 +1,11 @@
+.git
+.gitignore
+.DS_Store
+node_modules
+frontend/node_modules
+frontend/dist
+backend/node_modules
+backend/.sessions
+backend/uploads
+docker-compose.yml
+docs

.env.production.example

@@ -0,0 +1,5 @@
+MARIADB_ROOT_PASSWORD=change-this-root-password
+MARIADB_DATABASE=tier_cursor
+MARIADB_USER=tier_cursor
+MARIADB_PASSWORD=change-this-db-password
+SESSION_SECRET=change-this-session-secret

README.md

@@ -39,6 +39,18 @@ VITE_API_ORIGIN=http://localhost:5179 npm run dev
 
 자세한 내용은 [docs/local-mariadb.md](/Users/bicute/Desktop/zenn.dev/tier-cursor/docs/local-mariadb.md)를 참고하세요.
 
+## UGREEN NAS 운영 배포
+
+운영용은 `MariaDB + backend + frontend` 3컨테이너 구조를 권장합니다.
+
+```bash
+cp .env.production.example .env.production
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- 프로덕션 컴포즈: [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)
+- 배포 가이드: [docs/ugreen-nas-deploy.md](/Users/bicute/Desktop/zenn.dev/tier-cursor/docs/ugreen-nas-deploy.md)
+
 ## 사용 흐름(현재 구현)
 
 - **게임 선택**: `/`에서 게임 클릭

backend/Dockerfile

@@ -0,0 +1,15 @@
+FROM node:20-alpine
+
+WORKDIR /app
+
+COPY backend/package*.json ./
+RUN npm ci --omit=dev
+
+COPY backend/ ./
+
+ENV NODE_ENV=production
+ENV PORT=5179
+
+EXPOSE 5179
+
+CMD ["node", "index.js"]

backend/index.js

@@ -24,7 +24,7 @@ const allowedOrigins = (process.env.CORS_ORIGINS || '')
 
 const FileStore = FileStoreFactory(session)
 
-;['uploads/avatars', 'uploads/games', 'uploads/custom', '.sessions'].forEach((relativePath) => {
+;['uploads/avatars', 'uploads/games', 'uploads/custom', 'uploads/tierlists', '.sessions'].forEach((relativePath) => {
   fs.mkdirSync(path.join(__dirname, relativePath), { recursive: true })
 })
 
@@ -53,6 +53,7 @@ app.use(
       retries: 0,
     }),
     secret: SESSION_SECRET,
+    proxy: TRUST_PROXY > 0,
     resave: false,
     saveUninitialized: false,
     cookie: {

backend/src/db.js

@@ -46,6 +46,7 @@ function mapGameRow(row) {
     id: row.id,
     name: row.name,
     thumbnailSrc: row.thumbnail_src || '',
+    displayRank: row.display_rank == null ? null : Number(row.display_rank),
     createdAt: Number(row.created_at),
   }
 }
@@ -66,8 +67,13 @@ function mapTierListRow(row) {
   return {
     id: row.id,
     authorId: row.author_id,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
     gameId: row.game_id,
+    gameName: row.game_name || '',
     title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
     description: row.description || '',
     isPublic: !!row.is_public,
     groups: parseJson(row.groups_json, []),
@@ -77,6 +83,22 @@ function mapTierListRow(row) {
   }
 }
 
+function getUserDisplayName(row) {
+  if (!row) return ''
+  const nickname = (row.nickname || '').trim()
+  if (nickname) return nickname
+  const email = (row.email || '').trim()
+  if (!email) return ''
+  return email.split('@')[0] || email
+}
+
+function getUserAccountName(row) {
+  if (!row) return ''
+  const email = (row.email || '').trim()
+  if (!email) return ''
+  return email.split('@')[0] || email
+}
+
 async function createPool() {
   const rootConnection = await mysql.createConnection({
     host: DB_HOST,
@@ -135,10 +157,16 @@ async function ensureSchema() {
         id VARCHAR(120) PRIMARY KEY,
         name VARCHAR(120) NOT NULL,
         thumbnail_src VARCHAR(255) NOT NULL DEFAULT '',
+        display_rank INT NULL DEFAULT NULL,
         created_at BIGINT NOT NULL
       ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
     `)
 
+    const displayRankColumns = await query("SHOW COLUMNS FROM games LIKE 'display_rank'")
+    if (!displayRankColumns.length) {
+      await query('ALTER TABLE games ADD COLUMN display_rank INT NULL DEFAULT NULL AFTER thumbnail_src')
+    }
+
     await query(`
       CREATE TABLE IF NOT EXISTS game_items (
         id VARCHAR(64) PRIMARY KEY,
@@ -169,6 +197,7 @@ async function ensureSchema() {
         author_id VARCHAR(64) NOT NULL,
         game_id VARCHAR(120) NOT NULL,
         title VARCHAR(120) NOT NULL,
+        thumbnail_src VARCHAR(255) NOT NULL DEFAULT '',
         description TEXT NOT NULL,
         is_public TINYINT(1) NOT NULL DEFAULT 0,
         groups_json LONGTEXT NOT NULL,
@@ -183,6 +212,23 @@ async function ensureSchema() {
       ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
     `)
 
+    await query(`
+      CREATE TABLE IF NOT EXISTS favorite_tierlists (
+        user_id VARCHAR(64) NOT NULL,
+        tierlist_id VARCHAR(64) NOT NULL,
+        created_at BIGINT NOT NULL,
+        PRIMARY KEY (user_id, tierlist_id),
+        INDEX idx_favorite_tierlists_tierlist_id (tierlist_id),
+        CONSTRAINT fk_favorite_tierlists_user FOREIGN KEY (user_id) REFERENCES users(id) ON DELETE CASCADE,
+        CONSTRAINT fk_favorite_tierlists_tierlist FOREIGN KEY (tierlist_id) REFERENCES tierlists(id) ON DELETE CASCADE
+      ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
+    `)
+
+    const tierListThumbnailColumns = await query("SHOW COLUMNS FROM tierlists LIKE 'thumbnail_src'")
+    if (!tierListThumbnailColumns.length) {
+      await query("ALTER TABLE tierlists ADD COLUMN thumbnail_src VARCHAR(255) NOT NULL DEFAULT '' AFTER title")
+    }
+
     await query(
       `
         INSERT INTO games (id, name, thumbnail_src, created_at)
@@ -279,16 +325,51 @@ async function updateUserProfile({ id, nickname, avatarSrc }) {
   return findUserById(id)
 }
 
+async function listUsers() {
+  const rows = await query(
+    'SELECT id, email, nickname, is_admin, avatar_src, created_at FROM users ORDER BY created_at ASC, email ASC'
+  )
+  return rows.map(mapUserRow)
+}
+
+async function adminUpdateUser({ id, email, nickname, isAdmin }) {
+  await query('UPDATE users SET email = ?, nickname = ?, is_admin = ? WHERE id = ?', [
+    email,
+    nickname || '',
+    isAdmin ? 1 : 0,
+    id,
+  ])
+  return findUserById(id)
+}
+
+async function adminUpdateUserPassword({ id, passwordHash }) {
+  await query('UPDATE users SET password_hash = ? WHERE id = ?', [passwordHash, id])
+  return findUserById(id)
+}
+
+async function adminDeleteUser(id) {
+  await query('DELETE FROM users WHERE id = ?', [id])
+}
+
 async function listGames() {
   const rows = await query(
-    'SELECT id, name, thumbnail_src, created_at FROM games WHERE id <> ? ORDER BY created_at ASC, name ASC',
+    `
+      SELECT id, name, thumbnail_src, display_rank, created_at
+      FROM games
+      WHERE id <> ?
+      ORDER BY
+        CASE WHEN display_rank IS NULL THEN 1 ELSE 0 END ASC,
+        display_rank ASC,
+        created_at DESC,
+        name ASC
+    `,
     [FREEFORM_GAME_ID]
   )
   return rows.map(mapGameRow)
 }
 
 async function findGameById(id) {
-  const rows = await query('SELECT id, name, thumbnail_src, created_at FROM games WHERE id = ? LIMIT 1', [id])
+  const rows = await query('SELECT id, name, thumbnail_src, display_rank, created_at FROM games WHERE id = ? LIMIT 1', [id])
   return mapGameRow(rows[0])
 }
 
@@ -308,7 +389,13 @@ async function getGameDetail(gameId) {
 }
 
 async function createGame({ id, name }) {
-  await query('INSERT INTO games (id, name, thumbnail_src, created_at) VALUES (?, ?, ?, ?)', [id, name, '', now()])
+  await query('INSERT INTO games (id, name, thumbnail_src, display_rank, created_at) VALUES (?, ?, ?, ?, ?)', [
+    id,
+    name,
+    '',
+    null,
+    now(),
+  ])
   return findGameById(id)
 }
 
@@ -330,6 +417,12 @@ async function createGameItem({ id, gameId, src, label }) {
   return mapGameItemRow(rows[0])
 }
 
+async function updateGameItemLabel(itemId, label) {
+  await query('UPDATE game_items SET label = ? WHERE id = ?', [label, itemId])
+  const rows = await query('SELECT id, game_id, src, label, created_at FROM game_items WHERE id = ? LIMIT 1', [itemId])
+  return mapGameItemRow(rows[0])
+}
+
 async function deleteGameItem(itemId) {
   const gameItemRows = await query('SELECT game_id FROM game_items WHERE id = ? LIMIT 1', [itemId])
   const gameId = gameItemRows[0]?.game_id
@@ -366,6 +459,20 @@ async function deleteGame(gameId) {
   await query('DELETE FROM games WHERE id = ?', [gameId])
 }
 
+async function updateGameDisplayOrder(gameIds) {
+  const normalizedIds = Array.from(new Set((gameIds || []).filter((id) => id && id !== FREEFORM_GAME_ID))).slice(0, 50)
+
+  await query('UPDATE games SET display_rank = NULL WHERE id <> ?', [FREEFORM_GAME_ID])
+
+  await Promise.all(
+    normalizedIds.map((gameId, index) =>
+      query('UPDATE games SET display_rank = ? WHERE id = ? AND id <> ?', [index + 1, gameId, FREEFORM_GAME_ID])
+    )
+  )
+
+  return listGames()
+}
+
 async function createCustomItem({ id, ownerId, src, label }) {
   const createdAt = now()
   await query('INSERT INTO custom_items (id, owner_id, src, label, created_at) VALUES (?, ?, ?, ?, ?)', [
@@ -378,7 +485,60 @@ async function createCustomItem({ id, ownerId, src, label }) {
   return { id, ownerId, src, label, origin: 'custom', createdAt }
 }
 
-async function listCustomItems() {
+async function findCustomItemById(id) {
+  const rows = await query(
+    `
+      SELECT id, owner_id, src, label, created_at
+      FROM custom_items
+      WHERE id = ?
+      LIMIT 1
+    `,
+    [id]
+  )
+
+  const row = rows[0]
+  if (!row) return null
+  return {
+    id: row.id,
+    ownerId: row.owner_id,
+    src: row.src,
+    label: row.label,
+    createdAt: Number(row.created_at),
+  }
+}
+
+async function getCustomItemUsageMap() {
+  const rows = await query('SELECT groups_json, pool_json FROM tierlists')
+  const usageMap = new Map()
+
+  rows.forEach((row) => {
+    const groups = parseJson(row.groups_json, [])
+    const pool = parseJson(row.pool_json, [])
+
+    groups.forEach((group) => {
+      ;(group?.itemIds || []).forEach((itemId) => {
+        usageMap.set(itemId, (usageMap.get(itemId) || 0) + 1)
+      })
+    })
+
+    pool.forEach((item) => {
+      if (item?.id) {
+        usageMap.set(item.id, (usageMap.get(item.id) || 0) + 1)
+      }
+    })
+  })
+
+  return usageMap
+}
+
+async function listCustomItems({ queryText = '', page = 1, limit = 50, orphanOnly = false } = {}) {
+  const normalizedLimit = Math.min(Math.max(Number(limit) || 50, 1), 200)
+  const normalizedPage = Math.max(Number(page) || 1, 1)
+  const hasQuery = !!(queryText || '').trim()
+  const search = `%${(queryText || '').trim()}%`
+  const whereClause = hasQuery ? 'WHERE c.label LIKE ? OR c.src LIKE ? OR u.email LIKE ? OR u.nickname LIKE ?' : ''
+  const params = hasQuery ? [search, search, search, search] : []
+
   const rows = await query(
     `
       SELECT
@@ -391,23 +551,122 @@ async function listCustomItems() {
         u.email
       FROM custom_items c
       INNER JOIN users u ON u.id = c.owner_id
+      ${whereClause}
       ORDER BY c.created_at DESC
-      LIMIT 200
-    `
+    `,
+    params
   )
 
-  return rows.map((row) => ({
-    id: row.id,
-    ownerId: row.owner_id,
-    src: row.src,
-    label: row.label,
-    createdAt: Number(row.created_at),
-    ownerName: row.nickname || row.email,
-    ownerEmail: row.email,
+  const usageMap = await getCustomItemUsageMap()
+  const allItems = rows
+    .map((row) => ({
+      id: row.id,
+      ownerId: row.owner_id,
+      src: row.src,
+      label: row.label,
+      createdAt: Number(row.created_at),
+      ownerName: row.nickname || row.email,
+      ownerEmail: row.email,
+      usageCount: usageMap.get(row.id) || 0,
+    }))
+    .filter((item) => (orphanOnly ? item.usageCount === 0 : true))
+
+  const total = allItems.length
+  const offset = (normalizedPage - 1) * normalizedLimit
+  const pagedItems = allItems.slice(offset, offset + normalizedLimit)
+
+  return {
+    items: pagedItems,
+    total,
+    page: normalizedPage,
+    limit: normalizedLimit,
+  }
+}
+
+async function findUnusedCustomItems({ queryText = '' } = {}) {
+  const hasQuery = !!(queryText || '').trim()
+  const search = `%${(queryText || '').trim()}%`
+  const whereClause = hasQuery ? 'WHERE c.label LIKE ? OR c.src LIKE ? OR u.email LIKE ? OR u.nickname LIKE ?' : ''
+  const params = hasQuery ? [search, search, search, search] : []
+
+  const rows = await query(
+    `
+      SELECT
+        c.id,
+        c.owner_id,
+        c.src,
+        c.label,
+        c.created_at,
+        u.nickname,
+        u.email
+      FROM custom_items c
+      INNER JOIN users u ON u.id = c.owner_id
+      ${whereClause}
+      ORDER BY c.created_at DESC
+    `,
+    params
+  )
+
+  const usageMap = await getCustomItemUsageMap()
+  return rows
+    .map((row) => ({
+      id: row.id,
+      ownerId: row.owner_id,
+      src: row.src,
+      label: row.label,
+      createdAt: Number(row.created_at),
+      ownerName: row.nickname || row.email,
+      ownerEmail: row.email,
+      usageCount: usageMap.get(row.id) || 0,
+    }))
+    .filter((item) => item.usageCount === 0)
+}
+
+async function getFavoriteStatsForTierListIds(tierListIds, userId = '') {
+  const ids = Array.from(new Set((tierListIds || []).filter(Boolean)))
+  const countMap = new Map()
+  const favoritedSet = new Set()
+  if (!ids.length) return { countMap, favoritedSet }
+
+  const placeholders = ids.map(() => '?').join(', ')
+  const countRows = await query(
+    `
+      SELECT tierlist_id, COUNT(*) AS favorite_count
+      FROM favorite_tierlists
+      WHERE tierlist_id IN (${placeholders})
+      GROUP BY tierlist_id
+    `,
+    ids
+  )
+
+  countRows.forEach((row) => {
+    countMap.set(row.tierlist_id, Number(row.favorite_count || 0))
+  })
+
+  if (userId) {
+    const favoriteRows = await query(
+      `
+        SELECT tierlist_id
+        FROM favorite_tierlists
+        WHERE user_id = ? AND tierlist_id IN (${placeholders})
+      `,
+      [userId, ...ids]
+    )
+    favoriteRows.forEach((row) => favoritedSet.add(row.tierlist_id))
+  }
+
+  return { countMap, favoritedSet }
+}
+
+function applyFavoriteMetaToTierLists(tierLists, favoriteStats) {
+  return tierLists.map((tierList) => ({
+    ...tierList,
+    favoriteCount: favoriteStats.countMap.get(tierList.id) || 0,
+    isFavorited: favoriteStats.favoritedSet.has(tierList.id),
   }))
 }
 
-async function listPublicTierLists(gameId) {
+async function listPublicTierLists(gameId, currentUserId = '') {
   const params = []
   let whereClause = 'WHERE t.is_public = 1'
   if (gameId) {
@@ -421,11 +680,13 @@ async function listPublicTierLists(gameId) {
         t.id,
         t.game_id,
         t.title,
+        t.thumbnail_src,
         t.created_at,
         t.updated_at,
         t.author_id,
         u.nickname,
-        u.email
+        u.email,
+        u.avatar_src
       FROM tierlists t
       INNER JOIN users u ON u.id = t.author_id
       ${whereClause}
@@ -435,77 +696,251 @@ async function listPublicTierLists(gameId) {
     params
   )
 
-  return rows.map((row) => ({
+  const tierLists = rows.map((row) => ({
     id: row.id,
     gameId: row.game_id,
     title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
     createdAt: Number(row.created_at),
     updatedAt: Number(row.updated_at),
     authorId: row.author_id,
-    authorName: row.nickname || row.email,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
   }))
+
+  const favoriteStats = await getFavoriteStatsForTierListIds(
+    tierLists.map((tierList) => tierList.id),
+    currentUserId
+  )
+  return applyFavoriteMetaToTierLists(tierLists, favoriteStats)
 }
 
 async function listUserTierLists(userId) {
   const rows = await query(
     `
-      SELECT id, game_id, title, created_at, updated_at, is_public
-      FROM tierlists
-      WHERE author_id = ?
+      SELECT
+        t.id,
+        t.game_id,
+        t.title,
+        t.thumbnail_src,
+        t.created_at,
+        t.updated_at,
+        t.is_public,
+        u.nickname,
+        u.email,
+        u.avatar_src
+      FROM tierlists t
+      INNER JOIN users u ON u.id = t.author_id
+      WHERE t.author_id = ?
       ORDER BY updated_at DESC
     `,
     [userId]
   )
 
-  return rows.map((row) => ({
+  const tierLists = rows.map((row) => ({
     id: row.id,
     gameId: row.game_id,
     title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
     createdAt: Number(row.created_at),
     updatedAt: Number(row.updated_at),
     isPublic: !!row.is_public,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
   }))
+
+  const favoriteStats = await getFavoriteStatsForTierListIds(
+    tierLists.map((tierList) => tierList.id),
+    userId
+  )
+  return applyFavoriteMetaToTierLists(tierLists, favoriteStats)
 }
 
-async function findTierListById(id) {
+function uniqueTierListItems(poolItems) {
+  const map = new Map()
+  ;(poolItems || []).forEach((item) => {
+    if (!item?.id || map.has(item.id)) return
+    map.set(item.id, {
+      id: item.id,
+      src: item.src || '',
+      label: item.label || 'item',
+      origin: item.origin || 'game',
+    })
+  })
+  return Array.from(map.values())
+}
+
+async function listAdminTierLists({ queryText = '', page = 1, limit = 50, currentUserId = '' } = {}) {
+  const normalizedLimit = Math.min(Math.max(Number(limit) || 50, 1), 200)
+  const normalizedPage = Math.max(Number(page) || 1, 1)
+  const hasQuery = !!(queryText || '').trim()
+  const search = `%${(queryText || '').trim()}%`
+  const whereClause = hasQuery
+    ? `
+      WHERE
+        t.title LIKE ?
+        OR g.name LIKE ?
+        OR g.id LIKE ?
+        OR u.email LIKE ?
+        OR u.nickname LIKE ?
+    `
+    : ''
+  const params = hasQuery ? [search, search, search, search, search] : []
+
   const rows = await query(
     `
-      SELECT id, author_id, game_id, title, description, is_public, groups_json, pool_json, created_at, updated_at
-      FROM tierlists
-      WHERE id = ?
+      SELECT
+        t.id,
+        t.author_id,
+        t.game_id,
+        g.name AS game_name,
+        t.title,
+        t.thumbnail_src,
+        t.description,
+        t.is_public,
+        t.groups_json,
+        t.pool_json,
+        t.created_at,
+        t.updated_at,
+        u.nickname,
+        u.email,
+        u.avatar_src
+      FROM tierlists t
+      INNER JOIN users u ON u.id = t.author_id
+      INNER JOIN games g ON g.id = t.game_id
+      ${whereClause}
+      ORDER BY t.updated_at DESC, t.created_at DESC
+    `,
+    params
+  )
+
+  const allItems = rows.map((row) => {
+    const tierList = mapTierListRow(row)
+    const poolItems = uniqueTierListItems(tierList.pool)
+    const extraItems = poolItems.filter((item) => item.origin === 'custom')
+    return {
+      ...tierList,
+      itemCount: poolItems.length,
+      extraItemCount: extraItems.length,
+      extraItems,
+    }
+  })
+
+  const total = allItems.length
+  const offset = (normalizedPage - 1) * normalizedLimit
+  const pagedTierLists = allItems.slice(offset, offset + normalizedLimit)
+  const favoriteStats = await getFavoriteStatsForTierListIds(
+    pagedTierLists.map((tierList) => tierList.id),
+    currentUserId
+  )
+  return {
+    tierLists: applyFavoriteMetaToTierLists(pagedTierLists, favoriteStats),
+    total,
+    page: normalizedPage,
+    limit: normalizedLimit,
+  }
+}
+
+async function findTierListById(id, currentUserId = '') {
+  const rows = await query(
+    `
+      SELECT
+        t.id,
+        t.author_id,
+        t.game_id,
+        g.name AS game_name,
+        t.title,
+        t.thumbnail_src,
+        t.description,
+        t.is_public,
+        t.groups_json,
+        t.pool_json,
+        t.created_at,
+        t.updated_at,
+        u.nickname,
+        u.email,
+        u.avatar_src
+      FROM tierlists t
+      INNER JOIN users u ON u.id = t.author_id
+      INNER JOIN games g ON g.id = t.game_id
+      WHERE t.id = ?
       LIMIT 1
     `,
     [id]
   )
-  return mapTierListRow(rows[0])
+  const tierList = mapTierListRow(rows[0])
+  if (!tierList) return null
+  const favoriteStats = await getFavoriteStatsForTierListIds([tierList.id], currentUserId)
+  return applyFavoriteMetaToTierLists([tierList], favoriteStats)[0]
 }
 
-async function saveTierList({ id, authorId, gameId, title, description, isPublic, groups, pool }) {
-  const existing = id ? await findTierListById(id) : null
+async function deleteTierList(id) {
+  await query('DELETE FROM tierlists WHERE id = ?', [id])
+}
+
+async function findCustomItemsByIds(ids) {
+  if (!ids.length) return []
+  const placeholders = ids.map(() => '?').join(', ')
+  const rows = await query(
+    `
+      SELECT id, owner_id, src, label, created_at
+      FROM custom_items
+      WHERE id IN (${placeholders})
+    `,
+    ids
+  )
+
+  return rows.map((row) => ({
+    id: row.id,
+    ownerId: row.owner_id,
+    src: row.src,
+    label: row.label,
+    createdAt: Number(row.created_at),
+  }))
+}
+
+async function deleteCustomItems(ids) {
+  if (!ids.length) return
+  const placeholders = ids.map(() => '?').join(', ')
+  await query(`DELETE FROM custom_items WHERE id IN (${placeholders})`, ids)
+}
+
+async function saveTierList({ id, authorId, gameId, title, thumbnailSrc = '', description, isPublic, groups, pool }) {
+  const existing = id ? await findTierListById(id, authorId) : null
 
   if (existing) {
     await query(
       `
         UPDATE tierlists
-        SET title = ?, description = ?, is_public = ?, groups_json = ?, pool_json = ?, updated_at = ?
+        SET title = ?, thumbnail_src = ?, description = ?, is_public = ?, groups_json = ?, pool_json = ?, updated_at = ?
         WHERE id = ?
       `,
-      [title, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), now(), existing.id]
+      [title, thumbnailSrc, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), now(), existing.id]
     )
-    return findTierListById(existing.id)
+    return findTierListById(existing.id, authorId)
   }
 
   const createdAt = now()
   await query(
     `
       INSERT INTO tierlists (
-        id, author_id, game_id, title, description, is_public, groups_json, pool_json, created_at, updated_at
+        id, author_id, game_id, title, thumbnail_src, description, is_public, groups_json, pool_json, created_at, updated_at
       )
-      VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?)
+      VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)
     `,
-    [id, authorId, gameId, title, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), createdAt, createdAt]
+    [id, authorId, gameId, title, thumbnailSrc, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), createdAt, createdAt]
   )
-  return findTierListById(id)
+  return findTierListById(id, authorId)
+}
+
+async function favoriteTierList({ userId, tierListId }) {
+  await query('INSERT IGNORE INTO favorite_tierlists (user_id, tierlist_id, created_at) VALUES (?, ?, ?)', [userId, tierListId, now()])
+}
+
+async function unfavoriteTierList({ userId, tierListId }) {
+  await query('DELETE FROM favorite_tierlists WHERE user_id = ? AND tierlist_id = ?', [userId, tierListId])
 }
 
 module.exports = {
@@ -516,6 +951,10 @@ module.exports = {
   findUserById,
   createUser,
   updateUserProfile,
+  listUsers,
+  adminUpdateUser,
+  adminUpdateUserPassword,
+  adminDeleteUser,
   listGames,
   findGameById,
   listGameItems,
@@ -523,12 +962,22 @@ module.exports = {
   createGame,
   updateGameThumbnail,
   createGameItem,
+  updateGameItemLabel,
   deleteGameItem,
   deleteGame,
+  updateGameDisplayOrder,
   createCustomItem,
+  findCustomItemById,
   listCustomItems,
+  findUnusedCustomItems,
   listPublicTierLists,
   listUserTierLists,
+  listAdminTierLists,
   findTierListById,
+  favoriteTierList,
+  unfavoriteTierList,
+  deleteTierList,
+  findCustomItemsByIds,
+  deleteCustomItems,
   saveTierList,
 }

backend/src/routes/admin.js

@@ -1,16 +1,32 @@
+const fs = require('fs/promises')
 const path = require('path')
 const express = require('express')
 const multer = require('multer')
+const bcrypt = require('bcryptjs')
 const { z } = require('zod')
 const { nanoid } = require('nanoid')
 const {
+  findUserById,
   findGameById,
   createGame,
+  listGames,
   updateGameThumbnail,
   createGameItem,
+  updateGameItemLabel,
   deleteGameItem,
   deleteGame,
+  updateGameDisplayOrder,
   listCustomItems,
+  findCustomItemById,
+  findUnusedCustomItems,
+  findCustomItemsByIds,
+  deleteCustomItems,
+  listUsers,
+  listAdminTierLists,
+  findTierListById,
+  adminUpdateUser,
+  adminUpdateUserPassword,
+  adminDeleteUser,
 } = require('../db')
 const { requireAdmin } = require('../middleware/auth')
 
@@ -22,6 +38,18 @@ function buildUploadFilename(file) {
   return `${Date.now()}-${nanoid()}${safeExt}`
 }
 
+function buildItemLabelFromFilename(file) {
+  const originalName = file?.originalname || ''
+  const base = path.basename(originalName, path.extname(originalName))
+  const normalized = base
+    .replace(/[_-]+/g, ' ')
+    .replace(/\s+/g, ' ')
+    .trim()
+    .slice(0, 60)
+
+  return normalized || 'item'
+}
+
 const upload = multer({
   storage: multer.diskStorage({
     destination: (req, file, cb) => cb(null, path.join(__dirname, '..', '..', 'uploads', 'games')),
@@ -40,6 +68,20 @@ router.post('/games', requireAdmin, async (req, res) => {
   res.json({ game })
 })
 
+router.patch('/games/display-order', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    gameIds: z.array(z.string().min(1)).max(50),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const games = await listGames()
+  const validGameIds = new Set(games.map((game) => game.id))
+  const filteredIds = parsed.data.gameIds.filter((gameId) => validGameIds.has(gameId))
+  const updatedGames = await updateGameDisplayOrder(filteredIds)
+  res.json({ games: updatedGames })
+})
+
 router.post('/games/:gameId/thumbnail', requireAdmin, upload.single('thumbnail'), async (req, res) => {
   if (!req.file) return res.status(400).json({ error: 'file_required' })
   const game = await findGameById(req.params.gameId)
@@ -48,20 +90,27 @@ router.post('/games/:gameId/thumbnail', requireAdmin, upload.single('thumbnail')
   res.json({ game: updated })
 })
 
-router.post('/games/:gameId/images', requireAdmin, upload.single('image'), async (req, res) => {
-  if (!req.file) return res.status(400).json({ error: 'file_required' })
-  const schema = z.object({ label: z.string().min(1).max(60) })
-  const parsed = schema.safeParse(req.body)
-  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+router.post('/games/:gameId/images', requireAdmin, upload.array('images', 50), async (req, res) => {
+  const files = Array.isArray(req.files) ? req.files : []
+  if (!files.length) return res.status(400).json({ error: 'file_required' })
   const game = await findGameById(req.params.gameId)
   if (!game) return res.status(404).json({ error: 'not_found' })
-  const item = await createGameItem({
-    id: nanoid(),
-    gameId: game.id,
-    src: `/uploads/games/${req.file.filename}`,
-    label: parsed.data.label,
-  })
-  res.json({ item })
+
+  const manualLabel = typeof req.body?.label === 'string' ? req.body.label.trim() : ''
+  if (manualLabel && manualLabel.length > 60) return res.status(400).json({ error: 'bad_request' })
+
+  const items = await Promise.all(
+    files.map((file, index) =>
+      createGameItem({
+        id: nanoid(),
+        gameId: game.id,
+        src: `/uploads/games/${file.filename}`,
+        label: index === 0 && manualLabel ? manualLabel : buildItemLabelFromFilename(file),
+      })
+    )
+  )
+
+  res.json({ item: items[0], items })
 })
 
 router.delete('/games/:gameId/items/:itemId', requireAdmin, async (req, res) => {
@@ -71,6 +120,19 @@ router.delete('/games/:gameId/items/:itemId', requireAdmin, async (req, res) =>
   res.json({ ok: true })
 })
 
+router.patch('/games/:gameId/items/:itemId', requireAdmin, async (req, res) => {
+  const schema = z.object({ label: z.string().trim().min(1).max(60) })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const game = await findGameById(req.params.gameId)
+  if (!game) return res.status(404).json({ error: 'not_found' })
+
+  const updated = await updateGameItemLabel(req.params.itemId, parsed.data.label)
+  if (!updated || updated.gameId !== game.id) return res.status(404).json({ error: 'not_found' })
+  res.json({ item: updated })
+})
+
 router.delete('/games/:gameId', requireAdmin, async (req, res) => {
   const game = await findGameById(req.params.gameId)
   if (!game) return res.status(404).json({ error: 'not_found' })
@@ -79,8 +141,296 @@ router.delete('/games/:gameId', requireAdmin, async (req, res) => {
 })
 
 router.get('/custom-items', requireAdmin, async (req, res) => {
-  const items = await listCustomItems()
+  const schema = z.object({
+    q: z.string().trim().max(120).optional().default(''),
+    page: z.coerce.number().int().min(1).optional().default(1),
+    limit: z.coerce.number().int().min(1).max(200).optional().default(50),
+    orphanOnly: z
+      .union([z.literal('true'), z.literal('false'), z.boolean()])
+      .optional()
+      .default('false')
+      .transform((value) => value === true || value === 'true'),
+  })
+  const parsed = schema.safeParse(req.query)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const result = await listCustomItems({
+    queryText: parsed.data.q,
+    page: parsed.data.page,
+    limit: parsed.data.limit,
+    orphanOnly: parsed.data.orphanOnly,
+  })
+  res.json(result)
+})
+
+router.get('/tierlists', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    q: z.string().trim().max(120).optional().default(''),
+    page: z.coerce.number().int().min(1).optional().default(1),
+    limit: z.coerce.number().int().min(1).max(200).optional().default(50),
+  })
+  const parsed = schema.safeParse(req.query)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const result = await listAdminTierLists({
+    queryText: parsed.data.q,
+    page: parsed.data.page,
+    limit: parsed.data.limit,
+    currentUserId: req.session?.userId || '',
+  })
+  res.json(result)
+})
+
+async function removeCustomItemFiles(items) {
+  await Promise.all(
+    items.map(async (item) => {
+      if (!item?.src || !item.src.startsWith('/uploads/custom/')) return
+      const absolutePath = path.join(__dirname, '..', '..', item.src.replace(/^\//, ''))
+      try {
+        await fs.unlink(absolutePath)
+      } catch (e) {
+        if (e?.code !== 'ENOENT') throw e
+      }
+    })
+  )
+}
+
+async function promoteCustomItemToGameItem({ customItem, gameId }) {
+  const originalName = path.basename(customItem.src || '')
+  const nextFilename = buildUploadFilename({ originalname: originalName })
+  const sourcePath = path.join(__dirname, '..', '..', customItem.src.replace(/^\//, ''))
+  const targetRelativePath = path.join('uploads', 'games', nextFilename)
+  const targetPath = path.join(__dirname, '..', '..', targetRelativePath)
+
+  await fs.copyFile(sourcePath, targetPath)
+
+  return createGameItem({
+    id: nanoid(),
+    gameId,
+    src: `/${targetRelativePath.replace(/\\/g, '/')}`,
+    label: customItem.label,
+  })
+}
+
+async function copyUploadIntoGameAsset(src) {
+  if (typeof src !== 'string' || !src.startsWith('/uploads/')) return src || ''
+
+  const originalName = path.basename(src)
+  const nextFilename = buildUploadFilename({ originalname: originalName })
+  const sourcePath = path.join(__dirname, '..', '..', src.replace(/^\//, ''))
+  const targetRelativePath = path.join('uploads', 'games', nextFilename)
+  const targetPath = path.join(__dirname, '..', '..', targetRelativePath)
+
+  await fs.copyFile(sourcePath, targetPath)
+  return `/${targetRelativePath.replace(/\\/g, '/')}`
+}
+
+function uniqueTierListPoolItems(tierList) {
+  const seen = new Set()
+  return (tierList?.pool || []).filter((item) => {
+    if (!item?.id || seen.has(item.id)) return false
+    seen.add(item.id)
+    return true
+  })
+}
+
+async function promoteTierListItemsToGame({ tierList, gameId, itemIds = [] }) {
+  const allowedIds = new Set((itemIds || []).filter(Boolean))
+  const sourceItems = uniqueTierListPoolItems(tierList).filter((item) => item.origin === 'custom')
+  const itemsToCopy = allowedIds.size ? sourceItems.filter((item) => allowedIds.has(item.id)) : sourceItems
+  const createdItems = []
+
+  for (const item of itemsToCopy) {
+    const copiedSrc = await copyUploadIntoGameAsset(item.src)
+    createdItems.push(
+      await createGameItem({
+        id: nanoid(),
+        gameId,
+        src: copiedSrc,
+        label: item.label,
+      })
+    )
+  }
+
+  return createdItems
+}
+
+async function createGameTemplateFromTierList({ tierList, gameId, gameName }) {
+  await createGame({ id: gameId, name: gameName })
+  if (tierList.thumbnailSrc) {
+    const copiedThumb = await copyUploadIntoGameAsset(tierList.thumbnailSrc)
+    await updateGameThumbnail(gameId, copiedThumb)
+  }
+
+  const createdItems = []
+  for (const item of uniqueTierListPoolItems(tierList)) {
+    const copiedSrc = await copyUploadIntoGameAsset(item.src)
+    createdItems.push(
+      await createGameItem({
+        id: nanoid(),
+        gameId,
+        src: copiedSrc,
+        label: item.label,
+      })
+    )
+  }
+
+  return { game: await findGameById(gameId), items: createdItems }
+}
+
+router.delete('/custom-items/:itemId', requireAdmin, async (req, res) => {
+  const result = await listCustomItems({ page: 1, limit: 200, orphanOnly: false })
+  const target = result.items.find((item) => item.id === req.params.itemId)
+  if (!target) return res.status(404).json({ error: 'not_found' })
+  if (target.usageCount > 0) return res.status(409).json({ error: 'item_in_use' })
+
+  const items = await findCustomItemsByIds([target.id])
+  await deleteCustomItems([target.id])
+  await removeCustomItemFiles(items)
+  res.json({ ok: true })
+})
+
+router.post('/custom-items/:itemId/promote', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    gameId: z.string().min(1),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const game = await findGameById(parsed.data.gameId)
+  if (!game) return res.status(404).json({ error: 'game_not_found' })
+
+  const customItem = await findCustomItemById(req.params.itemId)
+  if (!customItem) return res.status(404).json({ error: 'not_found' })
+
+  const item = await promoteCustomItemToGameItem({ customItem, gameId: game.id })
+  res.json({ item })
+})
+
+router.post('/tierlists/:tierListId/promote-items', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    gameId: z.string().min(1),
+    itemIds: z.array(z.string().min(1)).optional().default([]),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const game = await findGameById(parsed.data.gameId)
+  if (!game) return res.status(404).json({ error: 'game_not_found' })
+
+  const tierList = await findTierListById(req.params.tierListId)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+
+  const items = await promoteTierListItemsToGame({
+    tierList,
+    gameId: game.id,
+    itemIds: parsed.data.itemIds,
+  })
   res.json({ items })
 })
 
+router.post('/tierlists/:tierListId/create-game-template', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    gameId: z.string().trim().min(1).max(120),
+    name: z.string().trim().min(1).max(120),
+    itemIds: z.array(z.string().min(1)).optional().default([]),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const exists = await findGameById(parsed.data.gameId)
+  if (exists) return res.status(409).json({ error: 'game_id_taken' })
+
+  const tierList = await findTierListById(req.params.tierListId)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+
+  const result = await createGameTemplateFromTierList({
+    tierList: {
+      ...tierList,
+      pool: parsed.data.itemIds.length ? (tierList.pool || []).filter((item) => parsed.data.itemIds.includes(item.id)) : tierList.pool,
+    },
+    gameId: parsed.data.gameId,
+    gameName: parsed.data.name,
+  })
+  res.json(result)
+})
+
+router.delete('/custom-items', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    q: z.string().trim().max(120).optional().default(''),
+  })
+  const parsed = schema.safeParse(req.query)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const items = await findUnusedCustomItems({ queryText: parsed.data.q })
+  const ids = items.map((item) => item.id)
+  await deleteCustomItems(ids)
+  await removeCustomItemFiles(items)
+  res.json({ ok: true, deletedCount: ids.length })
+})
+
+router.get('/users', requireAdmin, async (req, res) => {
+  const users = await listUsers()
+  res.json({ users })
+})
+
+router.patch('/users/:userId', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    email: z.string().email(),
+    nickname: z.string().trim().max(40).default(''),
+    isAdmin: z.boolean(),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  if (req.params.userId === req.session.userId && !parsed.data.isAdmin) {
+    return res.status(400).json({ error: 'self_admin_required' })
+  }
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  try {
+    const updated = await adminUpdateUser({
+      id: user.id,
+      email: parsed.data.email,
+      nickname: parsed.data.nickname,
+      isAdmin: parsed.data.isAdmin,
+    })
+    res.json({ user: updated })
+  } catch (e) {
+    if (e && e.code === 'ER_DUP_ENTRY') {
+      return res.status(409).json({ error: 'email_taken' })
+    }
+    throw e
+  }
+})
+
+router.delete('/users/:userId', requireAdmin, async (req, res) => {
+  if (req.params.userId === req.session.userId) {
+    return res.status(400).json({ error: 'cannot_delete_self' })
+  }
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  await adminDeleteUser(user.id)
+  res.json({ ok: true })
+})
+
+router.patch('/users/:userId/password', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    password: z.string().min(6).max(120),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  const passwordHash = await bcrypt.hash(parsed.data.password, 10)
+  await adminUpdateUserPassword({ id: user.id, passwordHash })
+  res.json({ ok: true })
+})
+
 module.exports = router

backend/src/routes/auth.js

@@ -44,7 +44,11 @@ router.post('/signup', async (req, res) => {
 
   req.session.userId = user.id
   req.session.isAdmin = !!user.isAdmin
-  res.json(user)
+  // 세션을 응답 전에 명시적으로 저장해 Set-Cookie가 확실히 내려오도록 보강
+  req.session.save((err) => {
+    if (err) return res.status(500).json({ error: 'session_save_failed' })
+    res.json(user)
+  })
 })
 
 router.post('/login', async (req, res) => {
@@ -60,13 +64,16 @@ router.post('/login', async (req, res) => {
 
   req.session.userId = user.id
   req.session.isAdmin = !!user.isAdmin
-  res.json({
-    id: user.id,
-    email: user.email,
-    nickname: user.nickname || '',
-    isAdmin: !!user.isAdmin,
-    avatarSrc: user.avatarSrc || '',
-    createdAt: user.createdAt,
+  req.session.save((err) => {
+    if (err) return res.status(500).json({ error: 'session_save_failed' })
+    res.json({
+      id: user.id,
+      email: user.email,
+      nickname: user.nickname || '',
+      isAdmin: !!user.isAdmin,
+      avatarSrc: user.avatarSrc || '',
+      createdAt: user.createdAt,
+    })
   })
 })
 

backend/src/routes/tierlists.js

@@ -7,8 +7,12 @@ const {
   findTierListById,
   listPublicTierLists,
   listUserTierLists,
+  deleteTierList,
   saveTierList,
   createCustomItem,
+  findUserById,
+  favoriteTierList,
+  unfavoriteTierList,
 } = require('../db')
 const { requireAuth } = require('../middleware/auth')
 
@@ -51,10 +55,19 @@ const upload = multer({
   limits: { fileSize: 6 * 1024 * 1024 },
 })
 
+const thumbnailUpload = multer({
+  storage: multer.diskStorage({
+    destination: (req, file, cb) => cb(null, path.join(__dirname, '..', '..', 'uploads', 'tierlists')),
+    filename: (req, file, cb) => cb(null, buildUploadFilename(file)),
+  }),
+  limits: { fileSize: 6 * 1024 * 1024 },
+})
+
 const tierListUpsertSchema = z.object({
   id: z.string().optional(),
   gameId: z.string().min(1),
   title: z.string().min(1).max(120),
+  thumbnailSrc: z.string().max(255).optional().default(''),
   description: z.string().max(1000).optional().default(''),
   isPublic: z.boolean().default(false),
   groups: z.array(
@@ -76,7 +89,7 @@ const tierListUpsertSchema = z.object({
 
 router.get('/public', async (req, res) => {
   const gameId = req.query.gameId
-  const lists = await listPublicTierLists(gameId)
+  const lists = await listPublicTierLists(gameId, req.session?.userId || '')
   res.json({ tierLists: lists })
 })
 
@@ -86,14 +99,44 @@ router.get('/me', requireAuth, async (req, res) => {
 })
 
 router.get('/:id', async (req, res) => {
-  const t = await findTierListById(req.params.id)
+  const t = await findTierListById(req.params.id, req.session?.userId || '')
   if (!t) return res.status(404).json({ error: 'not_found' })
   if (!t.isPublic) {
-    if (!req.session || req.session.userId !== t.authorId) return res.status(403).json({ error: 'forbidden' })
+    if (!req.session?.userId) return res.status(403).json({ error: 'forbidden' })
+    const currentUser = req.session.userId === t.authorId ? { isAdmin: false } : await findUserById(req.session.userId)
+    if (req.session.userId !== t.authorId && !currentUser?.isAdmin) return res.status(403).json({ error: 'forbidden' })
   }
   res.json({ tierList: normalizeTierList(t) })
 })
 
+router.delete('/:id', requireAuth, async (req, res) => {
+  const tierList = await findTierListById(req.params.id, req.session.userId)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+  if (tierList.authorId !== req.session.userId) return res.status(403).json({ error: 'forbidden' })
+
+  await deleteTierList(tierList.id)
+  res.json({ ok: true })
+})
+
+router.post('/:id/favorite', requireAuth, async (req, res) => {
+  const tierList = await findTierListById(req.params.id, req.session.userId)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+  if (!tierList.isPublic && tierList.authorId !== req.session.userId) return res.status(403).json({ error: 'forbidden' })
+
+  await favoriteTierList({ userId: req.session.userId, tierListId: tierList.id })
+  const updated = await findTierListById(tierList.id, req.session.userId)
+  res.json({ tierList: normalizeTierList(updated) })
+})
+
+router.delete('/:id/favorite', requireAuth, async (req, res) => {
+  const tierList = await findTierListById(req.params.id, req.session.userId)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+
+  await unfavoriteTierList({ userId: req.session.userId, tierListId: tierList.id })
+  const updated = await findTierListById(tierList.id, req.session.userId)
+  res.json({ tierList: normalizeTierList(updated) })
+})
+
 router.post('/custom-items', requireAuth, upload.single('image'), async (req, res) => {
   if (!req.file) return res.status(400).json({ error: 'file_required' })
 
@@ -111,6 +154,11 @@ router.post('/custom-items', requireAuth, upload.single('image'), async (req, re
   res.json({ item })
 })
 
+router.post('/thumbnail', requireAuth, thumbnailUpload.single('thumbnail'), async (req, res) => {
+  if (!req.file) return res.status(400).json({ error: 'file_required' })
+  res.json({ thumbnailSrc: `/uploads/tierlists/${req.file.filename}` })
+})
+
 router.post('/', requireAuth, async (req, res) => {
   const parsed = tierListUpsertSchema.safeParse(req.body)
   if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
@@ -127,6 +175,7 @@ router.post('/', requireAuth, async (req, res) => {
       authorId: existing.authorId,
       gameId: existing.gameId,
       title: payload.title,
+      thumbnailSrc: payload.thumbnailSrc || '',
       description: payload.description || '',
       isPublic: !!payload.isPublic,
       groups: payload.groups,
@@ -140,6 +189,7 @@ router.post('/', requireAuth, async (req, res) => {
     authorId: req.session.userId,
     gameId: payload.gameId,
     title: payload.title,
+    thumbnailSrc: payload.thumbnailSrc || '',
     description: payload.description || '',
     isPublic: !!payload.isPublic,
     groups: payload.groups,

docker-compose.prod.yml

@@ -0,0 +1,80 @@
+services:
+  mariadb:
+    image: mariadb:11.4
+    container_name: tmaker-mariadb
+    restart: unless-stopped
+    environment:
+      MARIADB_ROOT_PASSWORD: ${MARIADB_ROOT_PASSWORD}
+      MARIADB_DATABASE: ${MARIADB_DATABASE}
+      MARIADB_USER: ${MARIADB_USER}
+      MARIADB_PASSWORD: ${MARIADB_PASSWORD}
+    command:
+      - --character-set-server=utf8mb4
+      - --collation-server=utf8mb4_unicode_ci
+    volumes:
+      - tmaker_mariadb_data:/var/lib/mysql
+    healthcheck:
+      test: ["CMD-SHELL", "mariadb-admin ping -h 127.0.0.1 -uroot -p$$MARIADB_ROOT_PASSWORD --silent"]
+      start_period: 150s
+      interval: 10s
+      timeout: 5s
+      retries: 20
+
+  backend:
+    build:
+      context: .
+      dockerfile: backend/Dockerfile
+    container_name: tmaker-backend
+    restart: unless-stopped
+    depends_on:
+      mariadb:
+        condition: service_healthy
+    environment:
+      PORT: 5179
+      DB_HOST: mariadb
+      DB_PORT: 3306
+      DB_USER: ${MARIADB_USER}
+      DB_PASSWORD: ${MARIADB_PASSWORD}
+      DB_NAME: ${MARIADB_DATABASE}
+      SESSION_SECRET: ${SESSION_SECRET}
+      SESSION_COOKIE_SECURE: "true"
+      SESSION_COOKIE_SAME_SITE: "lax"
+      CORS_ORIGINS: https://tmaker.sori.studio
+      TRUST_PROXY: 1
+    volumes:
+      - tmaker_uploads:/app/uploads
+      - tmaker_sessions:/app/.sessions
+
+  frontend:
+    build:
+      context: .
+      dockerfile: frontend/Dockerfile
+      args:
+        VITE_API_ORIGIN: https://tmaker.sori.studio
+    container_name: tmaker-frontend
+    restart: unless-stopped
+    depends_on:
+      - backend
+    ports:
+      - "18080:80"
+
+  phpmyadmin:
+    image: phpmyadmin:5.2-apache
+    container_name: tmaker-phpmyadmin
+    restart: unless-stopped
+    profiles: ["admin"]
+    depends_on:
+      mariadb:
+        condition: service_healthy
+    environment:
+      PMA_HOST: mariadb
+      PMA_PORT: 3306
+      PMA_USER: ${MARIADB_USER}
+      PMA_PASSWORD: ${MARIADB_PASSWORD}
+    ports:
+      - "18081:80"
+
+volumes:
+  tmaker_mariadb_data:
+  tmaker_uploads:
+  tmaker_sessions:

docs/history.md

@@ -1,5 +1,30 @@
 # 의사결정 이력
 
+## 2026-03-27 v0.1.43
+- 화면 상단 인라인 경고는 스크롤이 생기면 놓치기 쉬우므로, 저장/삭제/가져오기 같은 사용자 행동 피드백은 전역 우측 상단 토스트로 통일하는 편이 더 적합하다고 정리했다.
+- 관리자 티어표 관리의 목적지 선택은 상단 고정 셀렉트보다 액션 직전 모달이 더 명확하므로, `기존 템플릿에 추가 / 새 템플릿 만들기`를 그 순간에 고르게 하기로 결정했다.
+- 공개 티어표는 수량이 많아질수록 개인 보관 수단이 필요하므로, 사용자별 즐겨찾기를 별도 테이블로 저장하고 목록/상세에서 즉시 토글할 수 있게 하기로 했다.
+
+## 2026-03-26 v0.1.42
+- 관리자 운영 관점에서는 공개 목록만으로는 부족하므로, 전체 티어표를 검색하고 추가 아이템까지 확인하는 별도 `티어표 관리` 탭을 두는 편이 더 적합하다고 정리했다.
+- 게임 기반 티어표의 “사용자 추가 아이템”과 `freeform` 티어표의 “전체 아이템”은 활용 목적이 다르므로, 전자는 기존 게임 템플릿 승격 중심으로, 후자는 새 게임 템플릿 생성 중심으로 다루기로 결정했다.
+- 관리자는 moderation 목적의 완성본 검토가 필요하므로, 작성자가 아니어도 비공개 티어표 상세를 열람할 수 있게 하기로 했다.
+
+## 2026-03-26 v0.1.41
+- 관리자 커스텀 아이템 승격은 버튼만 보이는 상태로 끝나면 안 되므로, 프런트 API와 백엔드 라우트가 실제로 함께 연결되어야 기능이 완결된다고 정리했다.
+
+## 2026-03-26 v0.1.40
+- 관리자 기본 아이템 이름 저장은 눌러도 변화가 없으면 혼란스러우므로, 실제 변경이 있을 때만 버튼이 활성화되는 편이 더 명확하다고 판단했다.
+- 사용자 커스텀 이미지는 관리자 검토 후 특정 게임의 기본 템플릿으로 복제해 가져올 수 있어야 운영 효율이 높아지므로, 게임 선택 기반 승격 흐름을 추가하기로 결정했다.
+
+## 2026-03-26 v0.1.39
+- 티어표 편집 헤더는 게임명 kicker보다 제목과 설명이 더 중요하므로, 좌측 입력 중심 구조로 재배치하고 썸네일은 우측 보조 카드로 분리하는 편이 더 자연스럽다고 판단했다.
+- 썸네일 조작 버튼은 모바일에서도 카드와 함께 유지되는 편이 흐름이 덜 끊기므로, 미리보기 아래 별도 줄로 떨어뜨리기보다 카드 내부의 짧은 액션 행으로 묶기로 결정했다.
+
+## 2026-03-26 v0.1.38
+- 관리자 기본 아이템은 업로드 시점에만 이름을 정할 수 있으면 운영 중 수정이 어려우므로, 목록에서 직접 이름을 바꾸고 저장할 수 있게 하기로 결정했다.
+- 게임별 티어표 목록도 식별성이 중요하므로, 사용자가 편집 시 별도 썸네일을 지정할 수 있게 하고 목록 카드에서는 게임 카드와 비슷한 상단 썸네일 구조를 사용하기로 결정했다.
+
 ## 2026-03-19
 - 초기 저장소는 빠른 구현을 위해 `lowdb(JSON 파일)`를 채택했다.
 - 인증은 JWT 대신 서버 세션(`express-session` + `session-file-store`)을 사용했다.
@@ -50,3 +75,90 @@
 - 관리자 화면은 좌우 여백이 크게 남는 구조보다, 상단 2열 작업 카드와 하단 목록 영역으로 나누는 편이 더 안정적이라고 판단해 레이아웃을 재정리했다.
 - 게임 목록에 없는 주제로도 바로 작업할 수 있도록, 시스템 전용 `freeform` 게임을 내부적으로 유지하고 홈 화면에서는 `직접 티어표 만들기` 카드로 노출하기로 결정했다.
 - 게임 제안은 현재 운영 흐름과 맞지 않아 사용자 진입점과 프런트 API에서 제거하고, 대신 관리자에게는 사용자 커스텀 아이템 검토 기능을 제공하기로 했다.
+
+## 2026-03-19 v0.1.12
+- 앱 전체 배경은 화면 폭 전체를 사용하고, 개별 콘텐츠만 필요한 만큼 정렬하는 방향이 더 자연스럽다고 판단해 전역 최대 폭 제한을 제거했다.
+- 비로그인 사용자가 새 티어표를 편집하다 저장 단계에서 막히는 경험은 손실 위험이 크므로, 작성 시작 자체를 로그인 사용자로 제한하고 공개 티어표는 읽기 전용으로 보여주기로 결정했다.
+- 커스텀 이미지 업로드는 단일 파일 선택만으로는 불편하므로, 다중 선택과 드래그 앤 드롭을 기본 흐름으로 보강했다.
+- 관리자에게는 게임 관리뿐 아니라 회원 관리 책임도 필요하므로, 회원 목록 조회/수정/삭제 기능을 추가하기로 결정했다.
+
+## 2026-03-19 v0.1.13
+- 관리자 페이지는 기능 수가 늘어난 만큼 게임, 아이템, 회원 관리 탭으로 나누는 편이 더 안전하다고 판단했다.
+- 사용자 커스텀 아이템은 수량이 빠르게 커질 수 있으므로, 검색과 페이지네이션을 기본 제공하는 관리 화면으로 보는 방향을 채택했다.
+- 메일 기반 복구가 없으므로, 관리자가 회원 비밀번호를 직접 초기화할 수 있는 기능을 제공하기로 결정했다.
+- 티어표 구조는 게임마다 다르므로, 기본 5단은 시작 템플릿일 뿐 사용자가 행을 직접 추가/삭제할 수 있어야 한다고 결정했다.
+
+## 2026-03-19 v0.1.17
+- 작성자가 자기 티어표를 직접 삭제할 수 있어야 관리 흐름이 완결되므로, `내 티어표` 화면에 삭제 기능을 추가하기로 결정했다.
+- 사용자 커스텀 이미지는 서버 용량을 계속 차지하므로, 참조가 하나도 남지 않은 이미지(미사용 항목)를 식별하고 관리자 화면에서 개별/일괄 정리할 수 있도록 하기로 결정했다.
+
+## 2026-03-19 v0.1.19
+- 티어표 공개 여부는 운영 기준상 대부분 공개 공유가 목적이므로, 신규 작성 시 기본값을 `공개 ON`으로 두기로 결정했다.
+- 에디터에서 저장 관련 행동은 좌우로 역할을 나눠 `다운로드/삭제`와 `공개/저장`으로 묶는 편이 더 빠르게 인지된다고 판단했다.
+- 공개 목록과 내 목록에서 제목만으로는 식별이 어려우므로, 제목 옆에 작성자 아바타와 표시명을 함께 노출하기로 결정했다.
+- 티어표 카드 메타 정보는 저장 시각과 업데이트 시각을 동시에 노출하는 대신, 최종 업데이트 시각만 남겨 단순화하기로 결정했다.
+
+## 2026-03-26 v0.1.21
+- 목록 썸네일 fallback 문자는 닉네임보다 계정 기준이 더 일관되므로, 아바타 이미지가 없을 때는 계정명 첫 글자를 사용하기로 결정했다.
+- 저장 성공은 화면 이동보다 현 위치 유지가 더 중요하므로, 편집을 계속할 수 있는 확인형 모달로 피드백을 제공하기로 결정했다.
+- PNG export는 가장자리 여백이 없는 결과보다 중앙 정렬된 카드형 결과물이 더 완성도 있게 보이므로, export 전용 보드에 충분한 바깥 패딩을 포함하기로 했다.
+
+## 2026-03-26 v0.1.22
+- 무제목 저장은 게임 이름 기본값보다 `이름 없음 + 날짜`가 더 명확하다고 판단해 자동 제목 규칙을 변경했다.
+- 제목이 비어 있는 티어표는 품질 관리 대상이 될 수 있으므로, 작성 중 단계에서 관리자 임의 삭제 가능성을 미리 안내하기로 결정했다.
+- 다운로드 이미지에는 편집용 빈 칸 안내 문구를 제외하고, 더 넓은 보드 폭과 하단 작성자/날짜 메타를 포함해 공유용 완성도를 높이기로 결정했다.
+
+## 2026-03-26 v0.1.23
+- 홈 화면 정렬은 단순 생성순 하나보다 `관리자 상단 고정 순서 + 나머지 최신 생성순` 조합이 운영과 신규 노출을 함께 만족시킨다고 판단했다.
+- 상단 고정은 전체 수동 정렬보다 최대 50개만 관리하는 방식이 운영 부담이 적으므로, 관리자에게는 제한된 상단 고정 목록만 직접 편집하게 하기로 결정했다.
+- `커스텀 티어표 만들기`는 일반 게임 카드와 성격이 다르므로 카드형 목록에서 분리해 우측 상단 버튼으로 노출하기로 결정했다.
+
+## 2026-03-26 v0.1.24
+- 상단 고정 게임이 50개까지 늘어날 수 있으므로, 위/아래 버튼만으로는 불편하다고 판단해 드래그 정렬을 함께 제공하기로 결정했다.
+- export 결과가 지나치게 넓으면 아이콘이 한 줄에 과도하게 몰리므로, 공유용 이미지 폭을 줄이고 pixel ratio도 낮춰 균형을 맞추기로 결정했다.
+- 현재 업로드는 파일 크기 제한만 있고 서버 저장 전 최적화는 없으므로, 운영 문서에 현황을 명확히 남기고 향후 리사이즈/압축 도입 여부를 검토하기로 했다.
+
+## 2026-03-26 v0.1.25
+- 저장 결과물 기준 너비가 여전히 길다고 판단해, export 보드 폭을 추가로 `960px`까지 줄여 최종 PNG 밀도를 더 낮추기로 결정했다.
+
+## 2026-03-26 v0.1.26
+- 아이콘 크기는 사용자 취향 차이가 큰 요소이므로, 고정값 하나보다 기본 `80px`에 단계형 크기 선택을 제공하는 편이 더 낫다고 판단했다.
+
+## 2026-03-26 v0.1.27
+- NAS 운영은 리버스 프록시 설정을 단순하게 유지하는 편이 좋으므로, 프런트 컨테이너 하나만 외부 공개하고 `/api`, `/uploads`는 내부 프록시로 넘기는 구조를 채택했다.
+- 운영은 로컬 개발 컴포즈와 분리된 전용 `docker-compose.prod.yml`을 두고, 환경변수는 `.env.production`으로 분리해 관리하기로 결정했다.
+
+## 2026-03-26 v0.1.28
+- UGREEN NAS에서 MariaDB 초기화가 길게 걸릴 수 있으므로, healthcheck는 앱 계정보다 `root` 기준 ping과 더 긴 유예 시간으로 두는 편이 안전하다고 판단했다.
+
+## 2026-03-26 v0.1.29
+- NAS에서 HTTPS를 종료한 뒤 내부 컨테이너끼리는 HTTP로 통신하는 구조에서는, 프런트 프록시가 백엔드에 원래 프로토콜을 정확히 전달하지 않으면 `secure` 세션 쿠키가 발급되지 않는다고 판단했다.
+- 따라서 운영 프런트 Nginx는 백엔드 프록시 요청에 `X-Forwarded-Proto: https`를 명시하고, Express 세션도 프록시 환경을 명시적으로 신뢰하도록 설정하기로 결정했다.
+
+## 2026-03-26 v0.1.30
+- 운영 프런트는 다른 origin 절대 URL보다 같은 origin 상대 `/api` 요청을 우선해야 세션 쿠키 저장이 안정적이라고 판단했다.
+
+## 2026-03-26 v0.1.31
+- 세션 기반 로그인 응답은 저장소 반영 타이밍 차이를 줄이기 위해 `req.session.save()`를 명시 호출하는 쪽이 운영 안정성에 유리하다고 판단했다.
+
+## 2026-03-26 v0.1.32
+- 인증 문제를 빠르게 확인하기 위해 일시적으로 세션 저장 성공/실패 로그를 남기고 원인을 좁혀가는 접근을 선택했다.
+
+## 2026-03-26 v0.1.33
+- 프록시 환경의 실제 판단 값을 보기 위해 `req.secure`, `req.protocol`, `x-forwarded-proto`를 직접 로그로 비교해 원인을 확인하기로 했다.
+
+## 2026-03-26 v0.1.34
+- 일부 NAS 환경에서 `favicon.svg` 정적 응답이 `403`으로 차단될 수 있으므로, 운영 안정성을 위해 별도 파일 요청이 필요 없는 인라인 데이터 URL 파비콘으로 전환하기로 결정했다.
+- 관리자 기본 아이템 등록은 단일 파일 업로드만으로는 운영 부담이 크므로, 다중 선택과 드래그 앤 드롭을 지원하고 라벨은 파일명으로 자동 생성하는 방향을 채택했다.
+
+## 2026-03-26 v0.1.35
+- NAS 운영 경로는 수동 파일 복사보다 Git clone 기반이 로컬 개발 흐름과 더 잘 맞고, 실수로 누락되는 파일을 줄일 수 있으므로 기본 배포 방식으로 권장하기로 결정했다.
+- 운영 환경 변수와 Docker 볼륨은 Git 저장소 바깥의 NAS 자산으로 유지하고, 코드는 `git pull`로만 반영하는 역할 분리를 명확히 하기로 했다.
+
+## 2026-03-26 v0.1.36
+- 브라우저 탭 제목은 개발용 기본 문자열보다 서비스 이름을 직접 보여주는 편이 맞다고 판단해 `Tier Maker`로 고정했다.
+- 무제목 티어표 기본값은 날짜형 임시 제목보다 사용자가 어떤 게임으로 작성했는지 즉시 알 수 있는 게임명 기준이 더 자연스럽다고 판단했다.
+
+## 2026-03-26 v0.1.37
+- 운영 포트 충돌을 피하기 위해 프로덕션 외부 포트는 `frontend=18080`, `phpMyAdmin=18081`로 고정하고, 리버스 프록시 문서도 그 기준으로 맞추기로 했다.
+- 인증 장애 원인을 찾기 위한 디버그 로그는 문제 해결 후 제거하고, 실제 운영에는 세션 저장 보강과 프록시 헤더 설정만 유지하는 편이 낫다고 판단했다.

docs/map.md

@@ -7,13 +7,13 @@
 
 ## `/games/:gameId`
 - 화면 파일: `frontend/src/views/GameHubView.vue`
-- 역할: 선택한 게임 정보 표시, 공개 티어표 목록 표시, 작성자 닉네임 노출, 새 티어표 작성 진입
-- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/public`
+- 역할: 선택한 게임 정보 표시, 공개 티어표 목록 표시, 티어표별 상단 썸네일/작성자 표시, 즐겨찾기 토글, 새 티어표 작성 진입
+- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/public`, `POST /api/tierlists/:id/favorite`, `DELETE /api/tierlists/:id/favorite`
 
 ## `/editor/:gameId/new`, `/editor/:gameId/:tierListId`
 - 화면 파일: `frontend/src/views/TierEditorView.vue`
-- 역할: 티어 그룹 편집, 관리자 아이템/커스텀 아이템 드래그 앤 드롭, 저장, 공개 여부 설정, PNG 다운로드
-- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/:id`, `POST /api/tierlists/custom-items`, `POST /api/tierlists`
+- 역할: 티어 그룹 편집, 티어 행 추가/삭제, 관리자 아이템/커스텀 아이템 다중 드래그 앤 드롭 업로드, 티어표 썸네일 선택, 작성 권한 제어, 저장, 공개 여부 설정, 즐겨찾기 토글, PNG 다운로드
+- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/:id`, `POST /api/tierlists/:id/favorite`, `DELETE /api/tierlists/:id/favorite`, `POST /api/tierlists/thumbnail`, `POST /api/tierlists/custom-items`, `POST /api/tierlists`
 
 ## `/login`
 - 화면 파일: `frontend/src/views/LoginView.vue`
@@ -22,13 +22,13 @@
 
 ## `/me`
 - 화면 파일: `frontend/src/views/MyTierListsView.vue`
-- 역할: 내 티어표 목록 조회, 편집 화면으로 이동
-- 연동 API: `GET /api/tierlists/me`
+- 역할: 내 티어표 목록 조회, 상단 썸네일 카드 표시, 편집 화면으로 이동, 작성자 본인 티어표 삭제
+- 연동 API: `GET /api/tierlists/me`, `DELETE /api/tierlists/:id`
 
 ## `/admin`
 - 화면 파일: `frontend/src/views/AdminView.vue`
-- 역할: 작업 모드 선택, 기존 게임 선택 또는 새 게임 생성, 선택된 게임의 썸네일/아이템 관리, 파일 선택 즉시 미리보기, 사용자 커스텀 아이템 검토/다운로드, 파일 입력 초기화, 아이템 삭제, 게임 삭제
-- 연동 API: `POST /api/admin/games`, `POST /api/admin/games/:gameId/thumbnail`, `POST /api/admin/games/:gameId/images`, `GET /api/admin/custom-items`, `DELETE /api/admin/games/:gameId/items/:itemId`, `DELETE /api/admin/games/:gameId`
+- 역할: `게임 관리 / 아이템 관리 / 티어표 관리 / 회원 관리` 탭 분리, 선택된 게임의 썸네일 관리, 기본 아이템 다중 드래그 앤 드롭 업로드, 기본 아이템 이름 수정, 사용자 커스텀 아이템 검색/페이지네이션/사용 횟수 확인/미사용 이미지 개별·일괄 삭제, 사용자 커스텀 아이템의 기본 템플릿 승격, 전체 티어표 검색/페이지네이션/공개 여부 확인/완성본 이동, 티어표의 추가 커스텀 아이템을 모달 기반으로 기존 템플릿 또는 새 템플릿에 가져오기, freeform 티어표의 게임 템플릿화, 회원 비밀번호 초기화 포함 회원 관리, 파일 입력 초기화, 아이템 삭제, 게임 삭제
+- 연동 API: `POST /api/admin/games`, `POST /api/admin/games/:gameId/thumbnail`, `POST /api/admin/games/:gameId/images`, `PATCH /api/admin/games/:gameId/items/:itemId`, `GET /api/admin/custom-items`, `POST /api/admin/custom-items/:itemId/promote`, `DELETE /api/admin/custom-items/:itemId`, `DELETE /api/admin/custom-items`, `GET /api/admin/tierlists`, `POST /api/admin/tierlists/:tierListId/promote-items`, `POST /api/admin/tierlists/:tierListId/create-game-template`, `GET /api/admin/users`, `PATCH /api/admin/users/:userId`, `PATCH /api/admin/users/:userId/password`, `DELETE /api/admin/users/:userId`, `DELETE /api/admin/games/:gameId/items/:itemId`, `DELETE /api/admin/games/:gameId`
 
 ## `/profile`
 - 화면 파일: `frontend/src/views/ProfileView.vue`
@@ -37,7 +37,7 @@
 
 ## 공통 레이아웃
 - 앱 셸 파일: `frontend/src/App.vue`
-- 역할: 상단 내비게이션, 로그인 상태 반영, 아바타 메뉴, 관리자 메뉴 노출 제어
+- 역할: 상단 내비게이션, 로그인 상태 반영, 아바타 메뉴, 관리자 메뉴 노출 제어, 전역 우측 상단 토스트 렌더링
 
 ## 백엔드 진입점
 - 서버 엔트리: `backend/index.js`

docs/spec.md

@@ -6,6 +6,9 @@
 - 데이터 저장소: MariaDB(MySQL 호환)
 - 세션 저장소: `session-file-store` 기반 파일 세션
 - 업로드 저장소: 로컬 파일 시스템(`backend/uploads/`)
+- 운영 배포: `frontend(Nginx 정적 서빙 + /api,/uploads 프록시) + backend + mariadb` Docker Compose 구조
+- NAS HTTPS 리버스 프록시 운영 시 프런트 Nginx는 백엔드로 `X-Forwarded-Proto: https`를 전달하고, Express 세션은 프록시 환경에서 `secure` 쿠키를 허용하도록 설정한다.
+- 프런트 파비콘은 운영 정적 파일 차단 영향을 줄이기 위해 `index.html`의 인라인 데이터 URL로 제공한다.
 
 ## 데이터 저장 구조
 - 메인 데이터베이스: MariaDB `tier_cursor` (기본값)
@@ -48,12 +51,17 @@
   - `authorId`: string
   - `gameId`: string
   - `title`: string
+  - `thumbnailSrc`: string
   - `description`: string
   - `isPublic`: boolean
   - `groups`: `{ id, name, itemIds[] }[]`
   - `pool`: `{ id, src, label, origin }[]`
   - `createdAt`: number
   - `updatedAt`: number
+- `favoriteTierLists`
+  - `userId`: string
+  - `tierListId`: string
+  - `createdAt`: number
 - `gameSuggestions`
   - `id`: string
   - `name`: string
@@ -74,22 +82,74 @@
   - `GET /api/tierlists/public`
   - `GET /api/tierlists/me`
   - `GET /api/tierlists/:id`
+  - `POST /api/tierlists/:id/favorite`
+  - `DELETE /api/tierlists/:id/favorite`
+  - `DELETE /api/tierlists/:id`
+  - `POST /api/tierlists/thumbnail`
   - `POST /api/tierlists/custom-items`
   - `POST /api/tierlists`
 - 관리자
   - `POST /api/admin/games`
   - `POST /api/admin/games/:gameId/thumbnail`
   - `POST /api/admin/games/:gameId/images`
+    - 여러 이미지를 한 번에 업로드할 수 있고, 별도 라벨이 없으면 파일명 기준으로 기본 아이템 이름을 만든다.
+  - `PATCH /api/admin/games/:gameId/items/:itemId`
+  - `GET /api/admin/tierlists`
+  - `POST /api/admin/tierlists/:tierListId/promote-items`
+  - `POST /api/admin/tierlists/:tierListId/create-game-template`
   - `GET /api/admin/custom-items`
+  - `POST /api/admin/custom-items/:itemId/promote`
+  - `DELETE /api/admin/custom-items/:itemId`
+  - `DELETE /api/admin/custom-items`
+  - `GET /api/admin/users`
+  - `PATCH /api/admin/users/:userId`
+  - `PATCH /api/admin/users/:userId/password`
+  - `DELETE /api/admin/users/:userId`
   - `DELETE /api/admin/games/:gameId/items/:itemId`
   - `DELETE /api/admin/games/:gameId`
 
 ## 관리자 화면 메모
 - 썸네일은 16:9 비율 미리보기 후 `썸네일 적용` 버튼으로 실제 반영한다.
-- 아이템 추가는 이름 입력, 파일 선택, 1:1 미리보기 확인 뒤 저장하는 흐름이다.
+- 게임 기본 아이템 추가는 드래그 앤 드롭 또는 다중 파일 선택으로 처리하고, 미리보기 카드에서 여러 장을 함께 확인할 수 있다.
+- 현재 기본 아이템 목록에서는 등록된 아이템 이름을 직접 수정하고 저장할 수 있다.
+- 기본 아이템 이름 저장 버튼은 값이 실제로 바뀐 경우에만 활성화된다.
 - 아이템 미리보기는 반응형 환경에서도 최대 `192px` 크기 안에서 표시한다.
 - 게임 전환 또는 업로드 성공 뒤에는 파일 입력값을 초기화해 같은 파일도 다시 선택할 수 있다.
-- 사용자 업로드 커스텀 아이템은 관리자 화면 하단 검토 영역에서 목록/다운로드할 수 있다.
+- 게임 관리 탭에서는 홈 화면 상단에 먼저 노출할 게임을 최대 50개까지 지정하고, 드래그 또는 위/아래 버튼으로 순서를 저장할 수 있다.
+- 사용자 업로드 커스텀 아이템은 관리자 화면의 아이템 관리 탭에서 검색, 페이지네이션, 다운로드할 수 있다.
+- 사용자 커스텀 아이템은 선택한 게임의 기본 템플릿으로 복제해 가져올 수 있다.
+- 커스텀 아이템은 사용 횟수(`usageCount`)를 표시하며, 미사용 항목만 필터링해 개별/일괄 삭제할 수 있다.
+- 관리자 화면에는 별도 `티어표 관리` 탭이 있으며, 최근 티어표 전체를 제목/게임/작성자 기준으로 검색하고 공개 여부를 함께 확인할 수 있다.
+- `티어표 관리` 탭의 추가 아이템은 작은 그리드 카드로 표시하고, 클릭 시 `기존 템플릿에 추가 / 새 템플릿 만들기` 모달을 통해 목적지를 선택한다.
+- `티어표 관리` 탭에서는 티어표 안의 커스텀 아이템을 개별 또는 일괄로 기존 게임 템플릿에 복제할 수 있다.
+- `freeform` 티어표는 관리자 화면에서 새 게임 ID/이름을 입력해 새로운 게임 템플릿으로 복제 생성할 수 있다.
+- 관리자 화면에서는 회원 이메일/닉네임/권한 수정, 비밀번호 초기화, 계정 삭제가 가능하다.
+
+## 티어표 접근 메모
+- `new` 작성 경로는 로그인한 사용자만 진입할 수 있다.
+- 비로그인 사용자는 공개된 티어표를 열람만 할 수 있고, 편집 UI와 저장 동작은 비활성화된다.
+- 비공개 티어표라도 관리자는 편집 화면에서 완성본을 열람할 수 있다.
+- 공개 티어표는 목록과 상세 화면에서 즐겨찾기 토글 및 개수를 함께 표시한다.
+- 커스텀 이미지 추가는 다중 파일 선택과 드래그 앤 드롭을 모두 지원한다.
+- 티어 행은 기본 5단으로 시작하지만, 사용자가 직접 추가하거나 제거할 수 있다.
+- 신규 티어표의 공개 여부 기본값은 `ON`이며, 기존 티어표는 편집 화면과 `내 티어표` 목록에서 직접 삭제할 수 있다.
+- 제목이 비어 있는 상태로 저장하면 내부 제목은 현재 게임명을 기본값으로 사용한다.
+- 제목 입력이 비어 있는 동안에는 무분별한 도배 방지를 위한 관리자 임의 삭제 가능성 안내 문구를 표시한다.
+- 티어표는 편집 화면에서 16:9 썸네일 이미지를 별도로 선택해 저장할 수 있고, 목록 카드에서는 그 이미지를 상단 대표 썸네일로 사용한다.
+- 편집 화면 상단 헤더는 좌측 제목/설명, 우측 썸네일 카드 구조를 사용하며 모바일에서는 한 열로 접힌다.
+- 티어표 편집기의 아이콘 기본 크기는 `80px`이며, 사용자가 `48 / 60 / 80 / 100 / 120` 단계로 즉시 조절할 수 있다.
+- 공개 티어표 목록과 `내 티어표` 목록은 제목 옆에 작성자 아바타와 표시명을 함께 보여준다.
+- 작성자 아바타 이미지가 없을 경우 목록 썸네일 fallback은 닉네임이 아니라 계정명 기준 첫 글자를 사용한다.
+- 티어표 목록 메타 정보는 최종 업데이트 시각만 간략하게 표시한다.
+- 저장 성공 시에는 에디터 안에서 반투명 오버레이 기반 확인 모달을 띄우고, PNG export 이미지는 약 `960px` 보드 폭과 `pixelRatio 1.5`, 외곽 여백, 작성자/날짜 하단 메타를 포함해 생성한다.
+- 저장/삭제/가져오기 같은 사용자 행동 피드백은 전역 우측 상단 토스트로 표시한다.
+- 홈 게임 목록은 관리자 상단 고정 순서가 있으면 그 순서를 먼저 적용하고, 그 외 게임은 최근 생성순으로 뒤에 이어진다.
+- `커스텀 티어표 만들기`는 카드가 아니라 홈 우측 상단 버튼으로 진입한다.
+
+## 업로드 제한 메모
+- 프로필 아바타 업로드는 파일당 최대 `3MB`다.
+- 관리자 게임 썸네일/기본 아이템 업로드와 사용자 커스텀 이미지 업로드는 파일당 최대 `6MB`다.
+- 현재는 업로드 전에 이미지 리사이즈/압축을 하지 않고 원본 파일을 그대로 저장한다.
 
 ## 운영 환경 변수
 - 프런트엔드
@@ -107,6 +167,12 @@
   - `SESSION_COOKIE_SECURE`: `true`면 HTTPS 전용 쿠키
   - `SESSION_COOKIE_SAME_SITE`: 기본 `lax`
 
+## 운영 배포 메모
+- 프로덕션 컴포즈 파일은 [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)이다.
+- 외부 도메인 `tmaker.sori.studio`는 `frontend` 컨테이너의 `18080` 포트로 리버스 프록시하고, `/api`, `/uploads`, `/health`는 프런트 Nginx가 내부 `backend:5179`로 전달한다.
+- 운영 볼륨은 MariaDB 데이터, 업로드 파일, 세션 파일을 각각 분리해 유지한다.
+- MariaDB healthcheck는 NAS 첫 기동 지연을 고려해 `root` 기준 ping과 긴 `start_period/retries`를 사용한다.
+
 ## NAS 배포 메모
 - 현재 구조는 MariaDB/MySQL 계열이므로 NAS에 MariaDB를 올리면 phpMyAdmin 또는 Adminer로 직접 데이터 확인이 가능하다.
 - 추천 구성:

docs/todo.md

@@ -1,7 +1,16 @@
 # 할 일 및 이슈
 
 ## 즉시 확인 필요
-- 사용자 커스텀 아이템을 관리자 기본 템플릿으로 승격하는 승인/복제 흐름은 아직 없다.
+- 회원 관리에서 아바타/작성 티어표 수/최근 활동 같은 보조 정보는 아직 표시하지 않는다.
+- 미사용 커스텀 이미지 일괄 삭제는 현재 "참조가 없는 항목" 기준이며, 보관 기간 정책 같은 운영 규칙은 아직 없다.
+- 업로드 이미지는 현재 원본 파일을 그대로 저장하므로, 운영 부담이 커지면 서버 저장 전 리사이즈/압축(예: 긴 변 제한, WebP 변환) 도입이 필요하다.
+- 관리자 기본 아이템 다중 업로드는 현재 파일명 기반 자동 라벨만 지원하므로, 필요하면 업로드 후 일괄 라벨 수정/정렬 UX를 추가 검토한다.
+- 티어표 썸네일은 현재 업로드/교체만 지원하므로, 필요하면 자동 썸네일 추출이나 업로드 이미지 크롭 UX를 추가 검토한다.
+- 사용자 커스텀 아이템 승격은 현재 수동 복제 방식이므로, 필요하면 중복 감지나 “비슷한 항목 추천” 같은 보조 UX를 검토한다.
+- 관리자 티어표 관리의 템플릿 생성은 현재 `freeform`만 직접 지원하므로, 필요하면 일반 게임 티어표의 전체 아이템을 복제한 파생 템플릿 생성 UX도 검토한다.
+- 관리자 티어표 관리의 추가 아이템 승격은 현재 커스텀(origin=`custom`) 아이템 기준이므로, 필요하면 “기존 게임 아이템과 비교한 차집합” 기준으로 더 정교하게 확장할 수 있다.
+- 즐겨찾기는 현재 저장/토글만 지원하므로, 필요하면 `내 즐겨찾기` 목록 화면이나 즐겨찾기순 정렬을 추가 검토한다.
+- 전역 토스트는 기본 시간 기반 자동 종료만 지원하므로, 필요하면 중복 합치기나 액션 링크 포함 형태로 확장할 수 있다.
 
 ## 배포 전 작업
 - NAS 실제 도메인 기준으로 `VITE_API_ORIGIN`, `CORS_ORIGINS`, `SESSION_SECRET`, `SESSION_COOKIE_SECURE`, `TRUST_PROXY` 값을 설정한다.
@@ -13,4 +22,6 @@
 ## 중기 개선
 - 게임/이미지/티어표 삭제 후 복구 또는 수정 이력 관리 기능을 추가한다.
 - 자동 테스트와 최소한의 배포 체크리스트를 만든다.
-- 관리자용 커스텀 아이템 승인/복제, 아이템 정렬 UI를 추가한다.
+- 관리자용 티어표 승인/숨김 처리, 아이템 정렬 UI를 추가한다.
+- 회원 검색/필터, 일괄 권한 변경 같은 관리 보조 기능을 추가한다.
+- 티어 행 프리셋 저장, 색상 관리, 행 복제 같은 고급 편집 기능을 추가한다.

docs/ugreen-nas-deploy.md

@@ -0,0 +1,160 @@
+# UGREEN NAS 배포 가이드
+
+## 개요
+- 운영 기본 컨테이너는 `mariadb`, `backend`, `frontend` 3개다.
+- `phpmyadmin`은 필요할 때만 `admin` 프로필로 추가 실행한다.
+- 외부 공개는 `frontend` 컨테이너 하나만 하고, `/api`, `/uploads`, `/health`는 내부적으로 `backend`로 프록시한다.
+- 도메인은 `https://tmaker.sori.studio` 기준으로 설정한다.
+
+## 파일
+- 프로덕션 컴포즈: [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)
+- 백엔드 이미지: [backend/Dockerfile](/Users/bicute/Desktop/zenn.dev/tier-cursor/backend/Dockerfile)
+- 프런트 이미지: [frontend/Dockerfile](/Users/bicute/Desktop/zenn.dev/tier-cursor/frontend/Dockerfile)
+- 프런트 Nginx 프록시: [frontend/nginx.conf](/Users/bicute/Desktop/zenn.dev/tier-cursor/frontend/nginx.conf)
+- 환경변수 예시: [.env.production.example](/Users/bicute/Desktop/zenn.dev/tier-cursor/.env.production.example)
+
+## 1. 프로젝트 업로드
+- NAS 작업 폴더에 현재 프로젝트를 그대로 업로드한다.
+- 기존 로컬 MariaDB 내용은 무시하고 새 운영 DB로 시작해도 된다.
+
+## 1-1. 권장 방식: Git clone 기반 운영
+- 수동 복사는 처음 1회에는 가능하지만, 이후부터는 로컬과 NAS가 쉽게 어긋난다.
+- 권장 방식은 NAS 작업 폴더를 Git 저장소로 두고, 로컬에서 작업 후 `push`, NAS에서는 `pull`만 하는 구조다.
+- 추천 흐름:
+  - 로컬: 개발 → 테스트 → 커밋 → `git push`
+  - NAS: `git pull` → `docker compose up -d --build`
+
+처음부터 Git으로 시작하려면 NAS에서:
+
+```bash
+cd /volume1/docker/projects/apps
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+```
+
+- 이미 같은 경로에 수동 복사본이 있다면, 가장 깔끔한 방법은 기존 폴더를 다른 이름으로 잠시 옮기고 새로 `clone`하는 것이다.
+- `.env.production`은 Git에 올리지 않고 NAS에만 유지한다.
+
+예시:
+
+```bash
+cd /volume1/docker/projects/apps
+mv tier-maker tier-maker-manual-backup
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+```
+
+- 이후 기존 수동 복사본의 `.env.production` 값을 새 clone 폴더의 `.env.production`에 그대로 옮기면 된다.
+
+## 2. 환경변수 파일 준비
+- 루트에서 `.env.production.example`를 복사해 `.env.production`으로 만든다.
+- 최소 변경값:
+  - `MARIADB_ROOT_PASSWORD`
+  - `MARIADB_PASSWORD`
+  - `SESSION_SECRET`
+
+예시:
+
+```env
+MARIADB_ROOT_PASSWORD=very-strong-root-password
+MARIADB_DATABASE=tier_cursor
+MARIADB_USER=tier_cursor
+MARIADB_PASSWORD=very-strong-app-password
+SESSION_SECRET=very-strong-random-session-secret
+```
+
+## 3. 컨테이너 실행
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- phpMyAdmin까지 같이 띄우려면:
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml --profile admin up -d --build
+```
+
+- MariaDB 첫 초기화는 NAS 환경에서 2분 이상 걸릴 수 있다.
+- 현재 프로덕션 컴포즈는 이를 고려해 `start_period: 150s`, `retries: 20` healthcheck를 사용한다.
+- 로그상 DB가 정상 기동했는데도 `unhealthy`가 뜬 적이 있다면 최신 `docker-compose.prod.yml`로 다시 올리는 것이 좋다.
+
+## 3-1. 이후 업데이트 방식
+- Git clone 기반으로 전환한 뒤에는 파일을 하나씩 NAS에 덮어쓰지 않는다.
+- 로컬에서 커밋과 푸시가 끝난 뒤, NAS에서는 아래 두 줄이 기본 배포 절차다.
+
+```bash
+git pull origin main
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- Dockerfile, Nginx 설정, 프런트 소스, 백엔드 소스가 바뀐 경우에는 `--build`를 유지한다.
+- 단순 재시작만 필요할 때도 있지만, 운영에서는 실수 방지를 위해 `up -d --build`를 기본값으로 두는 편이 안전하다.
+
+## 3-2. 이번 v0.1.34까지 적용하는 예시
+- 이미 NAS 폴더가 Git clone 상태라면:
+
+```bash
+cd /volume1/docker/projects/apps/tier-maker
+git pull origin main
+sudo docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- 아직 수동 복사 폴더만 있다면:
+
+```bash
+cd /volume1/docker/projects/apps
+mv tier-maker tier-maker-manual-backup
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+# 여기서 기존 .env.production 값을 새 파일에 옮긴다.
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+## 4. NAS 리버스 프록시
+- 외부 도메인: `tmaker.sori.studio`
+- 내부 대상 프로토콜: `http`
+- 내부 대상 호스트: NAS IP 또는 `localhost`
+- 내부 대상 포트: `18080`
+
+즉 NAS 리버스 프록시는 `frontend` 컨테이너의 `18080`만 바라보면 된다.
+
+## 5. HTTPS / 쿠키
+- 현재 프로덕션 컴포즈는 `SESSION_COOKIE_SECURE=true`를 사용한다.
+- 따라서 `tmaker.sori.studio`에는 HTTPS 인증서가 연결되어 있어야 한다.
+- NAS 리버스 프록시가 HTTPS 종료를 하고 내부는 `http://frontend:80` 또는 `localhost:18080`으로 전달하면 된다.
+- 최신 프런트 Nginx 설정은 백엔드로 `X-Forwarded-Proto: https`를 넘기므로, 로그인 직후 세션이 바로 풀리는 경우에는 프런트 이미지를 다시 빌드해 최신 설정이 반영됐는지 먼저 확인한다.
+
+## 6. 데이터 위치
+- MariaDB 데이터: Docker volume `tmaker_mariadb_data`
+- 업로드 파일: Docker volume `tmaker_uploads`
+- 세션 파일: Docker volume `tmaker_sessions`
+
+## 7. 점검 포인트
+- 메인 접속: `https://tmaker.sori.studio`
+- 헬스체크: `https://tmaker.sori.studio/health`
+- 로그인 후 새로고침 또는 `내 티어표` 진입 시 세션이 유지되는지 확인
+- 관리자 로그인 후:
+  - 게임 생성
+  - 썸네일 업로드
+  - 티어표 저장
+  - 이미지 다운로드
+
+## 8. MariaDB가 unhealthy일 때
+- 로그에 `ready for connections`가 보이면 DB 자체는 정상일 가능성이 높다.
+- 이 경우는 대부분 healthcheck 시간이 짧아서 생기는 문제다.
+- 최신 컴포즈 파일 반영 후 아래 순서로 다시 시작한다:
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml down -v
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+## 9. 참고
+- 현재 업로드 이미지는 서버 저장 전에 리사이즈/압축하지 않는다.
+- 운영 중 원본 이미지가 많이 쌓이면 이후 `sharp` 기반 최적화 단계를 추가하는 것이 좋다.
+- 프런트/백엔드/Nginx 설정을 바꿨다면 NAS에서 `docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build`로 이미지를 다시 빌드해 반영한다.
+- 운영 중 `.env.production`, 업로드 파일 볼륨, MariaDB 볼륨은 Git과 별개로 NAS 로컬 자산이므로 백업 정책을 따로 잡아야 한다.

docs/update.md

@@ -1,5 +1,115 @@
 # 업데이트 로그
 
+## 2026-03-27 v0.1.43
+- **전역 토스트 알림 추가**: 저장/삭제/가져오기 같은 사용자 행동 피드백을 상단 인라인 경고 대신 우측 상단 토스트로 통일해 잠시 표시 후 자동으로 사라지도록 변경
+- **관리자 티어표 아이템 가져오기 모달화**: 티어표 관리의 추가 아이템 영역을 소형 그리드로 다듬고, 가져오기 시점에 `기존 템플릿에 추가 / 새 템플릿 만들기`를 선택하는 모달 흐름으로 재정리
+- **티어표 즐겨찾기 추가**: 공개 티어표 목록과 상세 화면에서 즐겨찾기 토글과 개수를 표시하고, MariaDB에 사용자별 즐겨찾기 이력을 저장하도록 확장
+
+## 2026-03-26 v0.1.42
+- **관리자 티어표 관리 탭 추가**: 공개/비공개를 포함한 최근 티어표 전체를 관리자 화면에서 검색/페이지네이션으로 확인하고, 제목·작성자·게임·공개 여부를 함께 볼 수 있도록 보강
+- **추가 아이템 승격 흐름 확장**: 티어표 안에서 사용자가 추가한 커스텀 아이템을 관리자 화면에서 바로 특정 게임의 기본 템플릿으로 개별 또는 일괄 복제할 수 있도록 추가
+- **커스텀 티어표 템플릿화 추가**: `freeform` 티어표는 관리자 화면에서 새 게임 ID/이름을 입력해 별도 게임 템플릿으로 복제 생성할 수 있도록 지원
+- **관리자 열람 권한 확장**: 비공개 티어표도 관리자는 편집 화면에서 완성본을 열람할 수 있도록 상세 조회 권한을 확장
+
+## 2026-03-26 v0.1.41
+- **커스텀 아이템 승격 연결 수정**: 관리자 아이템 관리의 `기본 템플릿에 추가` 버튼이 실제 API와 백엔드 승격 라우트로 연결되도록 누락된 프런트/백엔드 구현을 보완
+
+## 2026-03-26 v0.1.40
+- **기본 아이템 저장 UX 보강**: 관리자 게임 관리에서 아이템 이름이 실제로 바뀐 경우에만 `이름 저장` 버튼이 활성화되도록 조정하고, 저장 중 상태를 버튼에 표시
+- **커스텀 아이템 승격 추가**: 관리자 아이템 관리에서 사용자 커스텀 이미지를 선택한 게임의 기본 템플릿으로 복제해 가져올 수 있도록 API와 UI를 추가
+
+## 2026-03-26 v0.1.39
+- **에디터 헤더 재구성**: 티어표 편집 상단에서 게임명 kicker를 제거하고, 좌측 제목/설명 입력과 우측 썸네일 카드가 나란히 보이는 구조로 재정리
+- **썸네일 영역 UX 개선**: 썸네일 미리보기와 선택/제거 버튼을 하나의 카드 안에 묶고, 모바일에서도 버튼이 카드 아래로 무너지지 않도록 밀도 있게 조정
+
+## 2026-03-26 v0.1.38
+- **관리자 기본 아이템 이름 수정 추가**: 게임 관리 화면의 현재 기본 아이템 목록에서 이름을 직접 수정하고 저장할 수 있도록 API와 UI를 보강
+- **티어표 썸네일 추가**: 티어표 편집 화면에서 별도 썸네일 이미지를 선택해 저장할 수 있도록 업로드 흐름을 추가하고, 게임별 공개 티어표/내 티어표 목록은 게임 카드처럼 상단 썸네일 + 하단 제목/작성자 정보 카드 구조로 변경
+
+## 2026-03-26 v0.1.37
+- **운영 포트 설정 반영**: 프로덕션 컴포즈의 `frontend/phpMyAdmin` 외부 포트를 `18080/18081` 기준으로 유지하고, NAS 배포 문서와 기술 명세의 리버스 프록시 포트 안내도 동일하게 정리
+- **인증 라우트 정리**: NAS 로그인 문제를 확인하기 위해 넣었던 `auth` 디버그 로그를 제거하고, 실제 운영에 필요한 세션 저장 보강만 유지
+- **이력 문서 정렬**: `docs/history.md`를 날짜/버전 흐름에 맞게 다시 정리해 추적성을 높임
+
+## 2026-03-26 v0.1.36
+- **브라우저 탭 이름 변경**: 프런트 문서 제목을 `frontend`에서 `Tier Maker`로 변경
+- **무제목 티어표 기본값 조정**: 사용자가 제목을 입력하지 않으면 `이름 없음 + 날짜` 대신 현재 게임명을 기본 제목으로 사용하도록 변경하고, 관리자 임의 삭제 안내 문구는 유지
+
+## 2026-03-26 v0.1.35
+- **NAS Git 배포 절차 추가**: UGREEN NAS에서 수동 복사 대신 `git clone`과 `git pull` 기반으로 운영 배포를 관리하는 절차를 배포 가이드에 정리
+- **v0.1.34 반영 명령 정리**: 이미 수동 복사본이 있는 경우 새 clone으로 전환한 뒤 최신 이미지를 다시 빌드하는 순서를 문서화
+
+## 2026-03-26 v0.1.34
+- **파비콘 정적 요청 제거**: 운영 환경에서 `/favicon.svg`가 `403`으로 막히는 경우를 피하기 위해, 별도 파일 대신 `index.html` 인라인 데이터 URL 파비콘으로 전환
+- **관리자 기본 아이템 다중 업로드 추가**: 게임 관리 화면에서 기본 아이템을 여러 장 드래그 앤 드롭 또는 다중 파일 선택으로 한 번에 추가할 수 있도록 변경하고, 기본 라벨은 파일명 기준으로 자동 생성
+
+## 2026-03-26 v0.1.33
+- **[NAS] 요청 프로토콜 디버그**: `auth/login`/`auth/me`에서 `req.secure`, `req.protocol`, `x-forwarded-proto` 값을 로그로 출력해 프록시/HTTPS 판단 문제를 확인
+
+## 2026-03-26 v0.1.32
+- **[NAS] 인증 디버그 로그 추가**: `auth/login`에서 `req.session.save` 성공/실패와 `auth/me`에서 세션 존재 여부를 콘솔 로그로 남겨 세션 쿠키 발급 문제를 빠르게 진단
+
+## 2026-03-26 v0.1.31
+- **[NAS] 세션 쿠키 발급 강제**: 백엔드 인증 라우트에서 `req.session.save()`를 명시 호출해 응답 전에 세션을 저장하고 `Set-Cookie`가 확실히 내려오도록 보강
+
+## 2026-03-26 v0.1.30
+- **[NAS] /api 상대경로 호출**: 운영(`import.meta.env.PROD`)에서는 `http://localhost:...` 같은 다른 origin으로 API를 호출하지 않도록, `frontend/src/lib/runtime.js`에서 `/api` 호출을 상대경로로 고정해 세션 쿠키가 정상 저장되도록 수정
+
+## 2026-03-26 v0.1.29
+- **NAS 로그인 유지 수정**: 프런트 Nginx가 백엔드에 전달하는 `X-Forwarded-Proto`를 `https`로 고정하고 Express 세션의 프록시 인지를 명시해, NAS HTTPS 리버스 프록시 뒤에서도 `secure` 세션 쿠키가 정상 발급되도록 조정
+- **운영 템플릿 복구**: 실수로 빠질 수 있는 `.env.production.example`를 다시 포함하고, NAS 재배포 시 최신 프런트 이미지를 다시 빌드하도록 문서 보강
+
+## 2026-03-26 v0.1.28
+- **MariaDB healthcheck 완화**: UGREEN NAS 첫 초기화 시간이 길어도 `unhealthy`로 오판하지 않도록 프로덕션 컴포즈의 DB healthcheck를 `root` 기준과 더 긴 `start_period/retries`로 조정
+- **NAS 장애 대응 문서화**: `ready for connections` 이후에도 `unhealthy`가 뜨는 경우의 재기동 절차를 배포 가이드에 추가
+
+## 2026-03-26 v0.1.27
+- **UGREEN NAS 배포 파일 추가**: `backend`, `frontend`용 Dockerfile과 프런트 Nginx 프록시 설정, 프로덕션 전용 `docker-compose.prod.yml` 추가
+- **운영 환경 예시 추가**: `.env.production.example`로 MariaDB/세션 시크릿 환경변수 템플릿 제공
+- **배포 문서화**: `tmaker.sori.studio` 기준 NAS 리버스 프록시, 컨테이너 실행, 볼륨 구성 가이드를 문서에 정리
+
+## 2026-03-26 v0.1.26
+- **아이콘 크기 조절 추가**: 티어표 편집기에서 `48 / 60 / 80 / 100 / 120` 단계로 아이콘 크기를 직접 바꿀 수 있도록 추가
+- **기본 아이콘 크기 상향**: 기본 `.thumb` 크기를 `80px` 기준으로 조정하고, 보드와 우측 아이템 목록에 함께 반영되도록 정리
+
+## 2026-03-26 v0.1.25
+- **export 폭 추가 축소**: 티어표 PNG export 보드 폭을 `960px`로 더 줄여 최종 저장 이미지가 지나치게 길어지지 않도록 조정
+
+## 2026-03-26 v0.1.24
+- **관리자 게임 순서 드래그 정렬 추가**: 상단 고정 게임 목록을 위/아래 버튼뿐 아니라 드래그로도 순서를 바꿀 수 있도록 보강
+- **export 크기 재조정**: 티어표 PNG export를 약 `1360px` 폭과 `pixelRatio 1.5` 기준으로 낮춰 아이콘이 과도하게 한 줄에 몰리지 않도록 수정
+- **업로드 정책 문서화**: 현재 아바타 `3MB`, 게임/커스텀 이미지 `6MB` 제한이 있으며 서버 저장 전 리사이즈/압축은 아직 하지 않는다는 점을 문서에 명시
+
+## 2026-03-26 v0.1.23
+- **홈 게임 정렬 규칙 변경**: 일반 게임 목록은 `상단 고정 순서 → 나머지 최신 생성순`으로 정렬되도록 변경
+- **관리자 게임 순서 편집 추가**: 관리자 게임 관리 탭에서 최대 50개의 게임을 상단 고정 목록으로 선택하고 위/아래 순서를 저장할 수 있도록 추가
+- **커스텀 티어표 진입점 변경**: 홈 화면의 `직접 티어표 만들기` 카드를 제거하고 우측 상단 버튼형 진입점으로 변경
+
+## 2026-03-26 v0.1.22
+- **무제목 저장 규칙 변경**: 제목을 비워두고 저장하면 내부 저장 제목을 `이름 없음 + 날짜` 형식으로 생성하도록 변경
+- **무제목 안내 문구 추가**: 제목 입력이 비어 있는 동안 관리자 임의 삭제 가능성을 알리는 경고 문구를 제목 입력 아래에 표시
+- **export 보드 확장**: 다운로드용 티어표 이미지는 빈 칸 안내 문구를 숨기고, 약 `1600px` 폭과 더 넉넉한 여백, 하단 작성자/날짜 메타 정보를 포함하도록 조정
+
+## 2026-03-26 v0.1.21
+- **아바타 fallback 기준 통일**: 티어표 목록에서 작성자 아바타 이미지가 없을 때 닉네임이 아니라 계정명 기준 첫 글자를 표시하도록 정리
+- **저장 완료 모달 추가**: 에디터에서 저장 성공 시 반투명 오버레이와 확인 버튼이 있는 피드백 모달을 표시하도록 추가
+- **다운로드 이미지 여백 보강**: PNG export 전용 보드에 외곽 패딩과 배경 여백을 넣어 콘텐츠가 가장자리에 붙어 보이지 않도록 조정
+
+## 2026-03-19 v0.1.20
+- **게임 선택 카드 순서 조정**: 홈 화면에서 일반 게임 카드를 먼저 보여주고 `직접 티어표 만들기` 카드는 마지막에 배치
+- **게임 카드 3열 레이아웃**: PC 기준 게임 선택 화면 카드를 3열로 재구성하고, 썸네일을 16:9 비율로 통일
+- **공개 티어표 카드 3열 레이아웃**: 게임 허브의 공개 티어표 목록도 PC 기준 3열 카드형으로 재배치하고 태블릿/모바일에서는 자동 줄바꿈되도록 조정
+
+## 2026-03-19 v0.1.19
+- **에디터 저장 영역 재정렬**: 공개 기본값을 `ON`으로 바꾸고, 액션 영역을 `이미지 다운로드 / 삭제 / 공개 ON·OFF / 저장` 흐름으로 재배치
+- **에디터 삭제 진입점 추가**: 기존 티어표는 편집 화면에서 바로 삭제할 수 있도록 버튼을 추가
+- **목록 작성자 표시 개선**: 공개 티어표와 내 티어표 목록의 제목 옆에 원형 아바타와 `by 닉네임(없으면 계정명)`을 표시
+- **목록 메타 단순화**: 티어표 카드 하단 정보는 게임 ID, 저장 시각, 라벨 문구를 제거하고 최종 업데이트 시각만 간략하게 노출
+
+## 2026-03-19 v0.1.18
+- **미사용 아이콘 필터 수정**: 관리자 아이템 관리의 `미사용 아이콘 보기` 체크 상태가 실제 API 요청의 `orphanOnly` 파라미터로 전달되도록 수정
+- **삭제 활성화 흐름 정상화**: 미사용 아이콘만 조회했을 때 `usageCount = 0` 항목의 개별 삭제 버튼이 의도대로 활성화되도록 정리
+
 ## 2026-03-19 v0.1.0
 - **초기 스캐폴딩**: `frontend/`에 Vue3(Vite, JavaScript) 프로젝트 생성
 - **라우팅/화면 골격**: 게임 선택(`/`), 게임 허브(`/games/:gameId`), 에디터(`/editor/:gameId/...`), 로그인(`/login`), 내 티어표(`/me`), 관리자(`/admin`) 라우트 추가
@@ -79,3 +189,31 @@
 - **직접 티어표 만들기 추가**: 홈 화면에 게임 카드와 동일한 형태의 `직접 티어표 만들기` 진입점을 추가하고, 내부 전용 `freeform` 게임 레코드로 1회성 빈 티어표 저장 흐름을 지원
 - **게임 제안 흐름 제거**: 홈 화면의 `새로운 게임 제안` 버튼/모달과 관련 프런트 API를 제거해 현재 운영 흐름에 맞게 단순화
 - **커스텀 아이템 검토 영역 추가**: 관리자 페이지에서 사용자 업로드 커스텀 아이템을 목록으로 보고 다운로드할 수 있는 검토 영역과 조회 API를 추가
+
+## 2026-03-19 v0.1.12
+- **전역 레이아웃 폭 정리**: 앱 메인 영역의 고정 최대 너비를 제거해 배경과 페이지 폭이 잘린 듯 보이지 않도록 조정
+- **작성 권한 제한**: 비로그인 사용자는 새 티어표 작성 화면으로 직접 진입할 수 없도록 하고, 공개된 티어표는 읽기 전용으로만 보이게 조정
+- **커스텀 이미지 업로드 개선**: 에디터의 커스텀 이미지 추가 영역에 다중 파일 선택과 드래그 앤 드롭 업로드를 추가
+- **회원 관리 추가**: 관리자 페이지에서 가입 회원 목록 조회, 이메일/닉네임/권한 수정, 계정 삭제가 가능한 관리 영역과 API를 추가
+
+## 2026-03-19 v0.1.13
+- **관리자 탭 구조 정리**: 관리자 페이지를 `게임 관리 / 아이템 관리 / 회원 관리` 탭으로 분리하고 기능별 작업 영역을 명확히 분리
+- **커스텀 아이템 조회 강화**: 사용자 커스텀 아이템 목록에 파일명 검색, `50/200` 단위 페이지네이션, 다운로드 흐름 추가
+- **회원 비밀번호 초기화 추가**: 관리자 페이지와 API에서 회원 비밀번호를 직접 재설정할 수 있도록 기능 추가
+- **가변 티어 행 지원**: 티어표 에디터에서 `S~D` 고정 5단이 아니라 티어 행을 직접 추가/삭제할 수 있도록 보강
+
+## 2026-03-19 v0.1.14
+- **커스텀 아이템 카드 반응형 수정**: 관리자 아이템 관리 탭의 커스텀 아이템 카드에서 이미지 폭을 유동값으로 조정하고, 텍스트 영역에 `min-width: 0`과 강제 줄바꿈 기준을 추가해 카드 바깥 overflow를 방지
+
+## 2026-03-19 v0.1.15
+- **셀렉트 화살표 여백 정리**: 전역 `select` 스타일에 커스텀 화살표 위치와 오른쪽 여백을 추가해 텍스트와 화살표가 지나치게 붙지 않도록 조정
+- **티어표 다운로드 결과 개선**: `TierEditorView`의 이미지 저장을 Blob 다운로드 방식으로 바꾸고, 캡처 대상을 보드 영역만 포함하는 전용 export 뷰로 분리해 우측 아이템 영역과 편집용 버튼/입력 UI가 저장 이미지에 섞이지 않도록 수정
+
+## 2026-03-19 v0.1.16
+- **티어표 헤더 마감 정리**: 제목/설명 입력을 각각 한 줄 폭으로 정리하고, 액션 영역과 분리해 헤더 가독성을 개선
+- **export 정보 보강**: 이미지 저장 시 제목 아래에 설명이 함께 표시되도록 보강
+- **보드 여백/정렬 정리**: 보드 내부 패딩을 늘리고, 티어 그룹 제목을 중앙 정렬로 조정해 완성본 느낌을 개선
+
+## 2026-03-19 v0.1.17
+- **내 티어표 삭제 추가**: `내 티어표` 목록에서 작성자가 자신의 티어표를 직접 삭제할 수 있도록 삭제 버튼과 API를 추가
+- **미사용 커스텀 이미지 관리 추가**: 관리자 아이템 탭에서 커스텀 이미지의 사용 횟수를 표시하고, 미사용 항목만 따로 필터링해 개별/일괄 삭제할 수 있도록 보강

frontend/Dockerfile

@@ -0,0 +1,22 @@
+FROM node:20-alpine AS build
+
+WORKDIR /app
+
+COPY frontend/package*.json ./
+RUN npm ci
+
+COPY frontend/ ./
+
+ARG VITE_API_ORIGIN=https://tmaker.sori.studio
+ENV VITE_API_ORIGIN=${VITE_API_ORIGIN}
+
+RUN npm run build
+
+FROM nginx:1.27-alpine
+
+COPY frontend/nginx.conf /etc/nginx/conf.d/default.conf
+COPY --from=build /app/dist /usr/share/nginx/html
+
+EXPOSE 80
+
+CMD ["nginx", "-g", "daemon off;"]

frontend/index.html

@@ -2,9 +2,12 @@
 <html lang="en">
   <head>
     <meta charset="UTF-8" />
-    <link rel="icon" type="image/svg+xml" href="/favicon.svg" />
+    <link
+      rel="icon"
+      href="data:image/svg+xml,%3Csvg xmlns='http://www.w3.org/2000/svg' viewBox='0 0 64 64'%3E%3Crect width='64' height='64' rx='16' fill='%230b1220'/%3E%3Cpath d='M18 18h28v8H36v20h-8V26H18z' fill='%23f8fafc'/%3E%3C/svg%3E"
+    />
     <meta name="viewport" content="width=device-width, initial-scale=1.0" />
-    <title>frontend</title>
+    <title>Tier Maker</title>
   </head>
   <body>
     <div id="app"></div>

frontend/nginx.conf

@@ -0,0 +1,38 @@
+server {
+  listen 80;
+  server_name _;
+
+  root /usr/share/nginx/html;
+  index index.html;
+
+  location / {
+    try_files $uri $uri/ /index.html;
+  }
+
+  location /api/ {
+    proxy_pass http://backend:5179/api/;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+
+  location /uploads/ {
+    proxy_pass http://backend:5179/uploads/;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+
+  location /health {
+    proxy_pass http://backend:5179/health;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+}

frontend/src/App.vue

@@ -3,10 +3,12 @@ import { computed, onMounted, onUnmounted, ref, watch } from 'vue'
 import { useRoute, useRouter } from 'vue-router'
 import { useAuthStore } from './stores/auth'
 import { toApiUrl } from './lib/runtime'
+import { useToast } from './composables/useToast'
 
 const route = useRoute()
 const router = useRouter()
 const auth = useAuthStore()
+const toast = useToast()
 const isAdmin = computed(() => !!auth.user?.isAdmin)
 const avatarUrl = computed(() => {
   if (!auth.user?.avatarSrc) return ''
@@ -58,7 +60,7 @@ async function logout() {
     <header class="app-header">
       <div class="brand" @click="$router.push('/')">
         <span class="brand__title">Tier Maker</span>
-        <span class="brand__sub">Vue</span>
+        <span class="brand__sub">by zenn</span>
       </div>
       <nav class="nav">
         <RouterLink to="/" class="nav__link">게임</RouterLink>
@@ -81,6 +83,12 @@ async function logout() {
     <main class="app-main">
       <RouterView />
     </main>
+    <div class="toastStack" aria-live="polite" aria-atomic="true">
+      <div v-for="item in toast.toasts" :key="item.id" class="toast" :class="`toast--${item.type}`">
+        <div class="toast__message">{{ item.message }}</div>
+        <button class="toast__close" @click="toast.dismissToast(item.id)">닫기</button>
+      </div>
+    </div>
   </div>
 </template>
 
@@ -143,8 +151,8 @@ async function logout() {
 }
 .app-main {
   padding: 20px 18px 60px;
-  max-width: 1100px;
-  margin: 0 auto;
+  width: 100%;
+  box-sizing: border-box;
 }
 
 .user {
@@ -198,4 +206,54 @@ async function logout() {
 .menuItem:hover {
   background: rgba(255, 255, 255, 0.09);
 }
+.toastStack {
+  position: fixed;
+  top: 78px;
+  right: 18px;
+  z-index: 30;
+  display: grid;
+  gap: 10px;
+  width: min(360px, calc(100vw - 24px));
+}
+.toast {
+  display: flex;
+  gap: 12px;
+  align-items: flex-start;
+  justify-content: space-between;
+  padding: 12px 14px;
+  border-radius: 16px;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(11, 18, 32, 0.94);
+  backdrop-filter: blur(12px);
+  box-shadow: 0 14px 30px rgba(0, 0, 0, 0.28);
+}
+.toast--success {
+  border-color: rgba(52, 211, 153, 0.38);
+}
+.toast--error {
+  border-color: rgba(239, 68, 68, 0.34);
+}
+.toast--info {
+  border-color: rgba(96, 165, 250, 0.34);
+}
+.toast__message {
+  line-height: 1.5;
+  font-size: 14px;
+}
+.toast__close {
+  flex: 0 0 auto;
+  border: 0;
+  background: transparent;
+  color: rgba(255, 255, 255, 0.76);
+  cursor: pointer;
+  font-weight: 800;
+}
+@media (max-width: 640px) {
+  .toastStack {
+    top: 70px;
+    right: 12px;
+    left: 12px;
+    width: auto;
+  }
+}
 </style>

frontend/src/composables/useToast.js

@@ -0,0 +1,31 @@
+import { readonly, ref } from 'vue'
+
+const toasts = ref([])
+let toastSeq = 0
+
+function dismissToast(id) {
+  toasts.value = toasts.value.filter((toast) => toast.id !== id)
+}
+
+function showToast(message, { type = 'info', duration = 2600 } = {}) {
+  if (!message) return ''
+  const id = `toast-${++toastSeq}`
+  toasts.value = [...toasts.value, { id, message, type }]
+
+  if (duration > 0) {
+    window.setTimeout(() => dismissToast(id), duration)
+  }
+
+  return id
+}
+
+export function useToast() {
+  return {
+    toasts: readonly(toasts),
+    dismissToast,
+    showToast,
+    success: (message, options = {}) => showToast(message, { type: 'success', ...options }),
+    error: (message, options = {}) => showToast(message, { type: 'error', ...options }),
+    info: (message, options = {}) => showToast(message, { type: 'info', ...options }),
+  }
+}

frontend/src/lib/api.js

@@ -32,11 +32,54 @@ export const api = {
 
   listGames: () => request('/api/games'),
   getGame: (gameId) => request(`/api/games/${encodeURIComponent(gameId)}`),
-  listAdminCustomItems: () => request('/api/admin/custom-items'),
+  updateAdminGameDisplayOrder: (payload) => request('/api/admin/games/display-order', { method: 'PATCH', body: payload }),
+  updateAdminGameItem: (gameId, itemId, payload) =>
+    request(`/api/admin/games/${encodeURIComponent(gameId)}/items/${encodeURIComponent(itemId)}`, { method: 'PATCH', body: payload }),
+  listAdminCustomItems: ({ q = '', page = 1, limit = 50, orphanOnly = false } = {}) =>
+    request(
+      `/api/admin/custom-items?q=${encodeURIComponent(q)}&page=${encodeURIComponent(page)}&limit=${encodeURIComponent(limit)}&orphanOnly=${encodeURIComponent(orphanOnly)}`
+    ),
+  listAdminTierLists: ({ q = '', page = 1, limit = 50 } = {}) =>
+    request(`/api/admin/tierlists?q=${encodeURIComponent(q)}&page=${encodeURIComponent(page)}&limit=${encodeURIComponent(limit)}`),
+  promoteAdminCustomItem: (itemId, payload) =>
+    request(`/api/admin/custom-items/${encodeURIComponent(itemId)}/promote`, { method: 'POST', body: payload }),
+  promoteAdminTierListItems: (tierListId, payload) =>
+    request(`/api/admin/tierlists/${encodeURIComponent(tierListId)}/promote-items`, { method: 'POST', body: payload }),
+  createAdminGameTemplateFromTierList: (tierListId, payload) =>
+    request(`/api/admin/tierlists/${encodeURIComponent(tierListId)}/create-game-template`, { method: 'POST', body: payload }),
+  listAdminUsers: () => request('/api/admin/users'),
+  updateAdminUser: (userId, payload) =>
+    request(`/api/admin/users/${encodeURIComponent(userId)}`, { method: 'PATCH', body: payload }),
+  updateAdminUserPassword: (userId, payload) =>
+    request(`/api/admin/users/${encodeURIComponent(userId)}/password`, { method: 'PATCH', body: payload }),
+  deleteAdminUser: (userId) => request(`/api/admin/users/${encodeURIComponent(userId)}`, { method: 'DELETE' }),
 
   listPublicTierLists: (gameId) =>
     request(`/api/tierlists/public?gameId=${encodeURIComponent(gameId || '')}`),
   listMyTierLists: () => request('/api/tierlists/me'),
   getTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}`),
+  favoriteTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}/favorite`, { method: 'POST' }),
+  unfavoriteTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}/favorite`, { method: 'DELETE' }),
+  deleteTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}`, { method: 'DELETE' }),
   saveTierList: (payload) => request('/api/tierlists', { method: 'POST', body: payload }),
+  uploadTierListThumbnail: async (file) => {
+    const fd = new FormData()
+    fd.append('thumbnail', file)
+    const res = await fetch(toApiUrl('/api/tierlists/thumbnail'), {
+      method: 'POST',
+      credentials: 'include',
+      body: fd,
+    })
+    const data = await res.json()
+    if (!res.ok) {
+      const err = new Error('request_failed')
+      err.status = res.status
+      err.data = data
+      throw err
+    }
+    return data
+  },
+  deleteAdminCustomItem: (itemId) => request(`/api/admin/custom-items/${encodeURIComponent(itemId)}`, { method: 'DELETE' }),
+  deleteAdminUnusedCustomItems: ({ q = '' } = {}) =>
+    request(`/api/admin/custom-items?q=${encodeURIComponent(q)}`, { method: 'DELETE' }),
 }

frontend/src/lib/runtime.js

@@ -3,7 +3,12 @@ const FALLBACK_API_ORIGIN = 'http://localhost:5179'
 export const API_ORIGIN = (import.meta.env.VITE_API_ORIGIN || FALLBACK_API_ORIGIN).replace(/\/+$/, '')
 
 export function toApiUrl(path = '') {
-  if (!path) return API_ORIGIN
+  const p = path.startsWith('/') ? path : `/${path}`
+
+  // 운영(Nginx 프록시)에서는 같은 도메인/프로토콜로 호출해야
+  // 세션 쿠키(`Set-Cookie`)가 브라우저에 정상 저장됩니다.
+  if (import.meta.env.PROD) return p
+
   if (/^https?:\/\//.test(path)) return path
-  return `${API_ORIGIN}${path.startsWith('/') ? path : `/${path}`}`
+  return `${API_ORIGIN}${p}`
 }

frontend/src/style.css

@@ -54,6 +54,21 @@ body {
   margin: 0;
 }
 
+select {
+  appearance: none;
+  -webkit-appearance: none;
+  -moz-appearance: none;
+  background-image:
+    linear-gradient(45deg, transparent 50%, rgba(255, 255, 255, 0.78) 50%),
+    linear-gradient(135deg, rgba(255, 255, 255, 0.78) 50%, transparent 50%);
+  background-position:
+    calc(100% - 18px) calc(50% - 2px),
+    calc(100% - 12px) calc(50% - 2px);
+  background-size: 6px 6px, 6px 6px;
+  background-repeat: no-repeat;
+  padding-right: 36px;
+}
+
 h1,
 h2 {
   font-family: var(--heading);
@@ -157,7 +172,7 @@ code {
 }
 
 #app {
-  width: 1126px;
+  /* width: 1126px; */
   max-width: 100%;
   margin: 0 auto;
   text-align: center;

frontend/src/views/GameHubView.vue

@@ -2,9 +2,14 @@
 import { computed, onMounted, ref } from 'vue'
 import { useRoute, useRouter } from 'vue-router'
 import { api } from '../lib/api'
+import { toApiUrl } from '../lib/runtime'
+import { useAuthStore } from '../stores/auth'
+import { useToast } from '../composables/useToast'
 
 const route = useRoute()
 const router = useRouter()
+const auth = useAuthStore()
+const toast = useToast()
 
 const gameId = computed(() => route.params.gameId)
 
@@ -19,10 +24,25 @@ function fmt(ts) {
     day: '2-digit',
     hour: '2-digit',
     minute: '2-digit',
-    second: '2-digit',
   })
 }
 
+function displayNameOf(tierList) {
+  return tierList.authorName || '알 수 없음'
+}
+
+function avatarSrcOf(tierList) {
+  return tierList.authorAvatarSrc ? toApiUrl(tierList.authorAvatarSrc) : ''
+}
+
+function avatarFallbackOf(tierList) {
+  return (tierList.authorAccountName || 'u').trim().charAt(0).toUpperCase() || '?'
+}
+
+function tierListThumbnailUrl(tierList) {
+  return tierList.thumbnailSrc ? toApiUrl(tierList.thumbnailSrc) : ''
+}
+
 onMounted(async () => {
   try {
     const [gameRes, listRes] = await Promise.all([api.getGame(gameId.value), api.listPublicTierLists(gameId.value)])
@@ -34,12 +54,31 @@ onMounted(async () => {
 })
 
 function createNew() {
+  if (!auth.user) {
+    router.push(`/login?redirect=/editor/${gameId.value}/new`)
+    return
+  }
   router.push(`/editor/${gameId.value}/new`)
 }
 
 function openTierList(id) {
   router.push(`/editor/${gameId.value}/${id}`)
 }
+
+async function toggleFavorite(tierList) {
+  if (!auth.user) {
+    router.push(`/login?redirect=/games/${gameId.value}`)
+    return
+  }
+
+  try {
+    const data = tierList.isFavorited ? await api.unfavoriteTierList(tierList.id) : await api.favoriteTierList(tierList.id)
+    tierLists.value = tierLists.value.map((entry) => (entry.id === tierList.id ? { ...entry, ...data.tierList } : entry))
+    toast.success(tierList.isFavorited ? '즐겨찾기를 해제했어요.' : '즐겨찾기에 추가했어요.')
+  } catch (e) {
+    toast.error('즐겨찾기 처리에 실패했어요.')
+  }
+}
 </script>
 
 <template>
@@ -50,7 +89,7 @@ function openTierList(id) {
       <p class="desc">새 티어표를 만들거나, 다른 사람들이 올린 티어표를 확인하세요.</p>
     </div>
     <div class="head__right">
-      <button class="primary" @click="createNew">새로운 티어표 만들기</button>
+      <button class="primary" @click="createNew">{{ auth.user ? '새로운 티어표 만들기' : '로그인 후 새 티어표 만들기' }}</button>
     </div>
   </section>
 
@@ -59,12 +98,28 @@ function openTierList(id) {
     <div class="panel__title">공개 티어표</div>
     <div v-if="tierLists.length === 0" class="empty">아직 공개 티어표가 없어요.</div>
     <div v-else class="list">
-      <button v-for="t in tierLists" :key="t.id" class="row" @click="openTierList(t.id)">
-        <div class="row__title">{{ t.title }}</div>
-        <div class="row__meta">
-          작성자: {{ t.authorName || '알 수 없음' }} · 저장: {{ fmt(t.createdAt || t.updatedAt) }} · 업데이트: {{ fmt(t.updatedAt) }}
+      <article v-for="t in tierLists" :key="t.id" class="row">
+        <button class="row__body" @click="openTierList(t.id)">
+          <div class="row__thumbWrap">
+            <img v-if="tierListThumbnailUrl(t)" class="row__thumb" :src="tierListThumbnailUrl(t)" :alt="t.title" />
+            <div v-else class="row__thumbPlaceholder"></div>
+          </div>
+          <div class="row__head">
+            <div class="row__title">{{ t.title }}</div>
+            <div class="row__author">
+              <img v-if="avatarSrcOf(t)" class="row__avatar" :src="avatarSrcOf(t)" :alt="displayNameOf(t)" />
+              <div v-else class="row__avatar row__avatar--fallback">{{ avatarFallbackOf(t) }}</div>
+              <span>by {{ displayNameOf(t) }}</span>
+            </div>
+          </div>
+        </button>
+        <div class="row__foot">
+          <div class="row__meta">{{ fmt(t.updatedAt) }}</div>
+          <button class="favoriteBtn" @click="toggleFavorite(t)">
+            {{ t.isFavorited ? '★' : '☆' }} {{ t.favoriteCount || 0 }}
+          </button>
         </div>
-      </button>
+      </article>
     </div>
   </section>
 </template>
@@ -125,26 +180,117 @@ function openTierList(id) {
 }
 .list {
   display: grid;
-  gap: 10px;
+  grid-template-columns: repeat(3, minmax(0, 1fr));
+  gap: 14px;
 }
 .row {
-  text-align: left;
-  padding: 12px;
-  border-radius: 14px;
+  border-radius: 16px;
   border: 1px solid rgba(255, 255, 255, 0.12);
-  background: rgba(255, 255, 255, 0.03);
+  background: rgba(255, 255, 255, 0.04);
   color: rgba(255, 255, 255, 0.92);
-  cursor: pointer;
+  display: grid;
+  gap: 10px;
+  align-content: start;
+  min-height: 168px;
+  overflow: hidden;
 }
 .row:hover {
   background: rgba(255, 255, 255, 0.05);
 }
+.row__body {
+  text-align: left;
+  padding: 0;
+  border: 0;
+  background: transparent;
+  color: inherit;
+  cursor: pointer;
+  width: 100%;
+  display: grid;
+  gap: 10px;
+}
+.row__thumbWrap {
+  width: 100%;
+  aspect-ratio: 16 / 9;
+  background: rgba(255, 255, 255, 0.03);
+}
+.row__thumb {
+  width: 100%;
+  height: 100%;
+  object-fit: cover;
+  display: block;
+}
+.row__thumbPlaceholder {
+  width: 100%;
+  height: 100%;
+  background:
+    linear-gradient(135deg, rgba(255,255,255,0.06), rgba(255,255,255,0.02));
+}
 .row__title {
   font-weight: 800;
+  min-width: 0;
+  font-size: 18px;
+  line-height: 1.35;
+}
+.row__head {
+  padding: 14px 14px 0;
+  display: grid;
+  gap: 12px;
+  align-content: start;
+}
+.row__author {
+  display: inline-flex;
+  gap: 8px;
+  align-items: center;
+  font-size: 13px;
+  opacity: 0.86;
+  flex: 0 0 auto;
+}
+.row__avatar {
+  width: 28px;
+  height: 28px;
+  border-radius: 999px;
+  object-fit: cover;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(255, 255, 255, 0.08);
+}
+.row__avatar--fallback {
+  display: grid;
+  place-items: center;
+  font-size: 12px;
+  font-weight: 900;
 }
 .row__meta {
   opacity: 0.78;
-  margin-top: 6px;
   font-size: 13px;
 }
+.row__foot {
+  padding: 0 14px 14px;
+  display: flex;
+  gap: 12px;
+  align-items: center;
+  justify-content: space-between;
+  margin-top: auto;
+}
+.favoriteBtn {
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(255, 255, 255, 0.05);
+  color: rgba(255, 255, 255, 0.92);
+  border-radius: 999px;
+  padding: 7px 10px;
+  cursor: pointer;
+  font-weight: 800;
+}
+.favoriteBtn:hover {
+  background: rgba(255, 255, 255, 0.09);
+}
+@media (max-width: 1100px) {
+  .list {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
+@media (max-width: 720px) {
+  .list {
+    grid-template-columns: 1fr;
+  }
+}
 </style>

frontend/src/views/HomeView.vue

@@ -3,12 +3,14 @@ import { computed, onMounted, ref } from 'vue'
 import { useRouter } from 'vue-router'
 import { api } from '../lib/api'
 import { toApiUrl } from '../lib/runtime'
+import { useAuthStore } from '../stores/auth'
 
 const router = useRouter()
+const auth = useAuthStore()
 
 const items = ref([])
 const error = ref('')
-const games = computed(() => items.value)
+const games = computed(() => items.value.filter((item) => item.id !== 'freeform'))
 
 onMounted(async () => {
   try {
@@ -24,6 +26,10 @@ function goGame(gameId) {
 }
 
 function goFreeform() {
+  if (!auth.user) {
+    router.push('/login?redirect=/editor/freeform/new')
+    return
+  }
   router.push('/editor/freeform/new')
 }
 
@@ -35,22 +41,16 @@ function thumbUrl(g) {
 </script>
 
 <template>
-  <section class="hero">
-    <h1 class="hero__title">티어표 메이커</h1>
-    <p class="hero__desc">
-      게임을 선택하면 새 티어표를 만들거나, 다른 사람들이 올린 티어표를 볼 수 있어요.
-    </p>
+  <section class="topBar">
+    <div class="topBar__copy">
+      <h1 class="topBar__title">게임 선택</h1>
+      <p class="topBar__desc">관리자 고정 순서가 있으면 먼저 보여주고, 그 외 게임은 최근 생성순으로 정렬됩니다.</p>
+    </div>
+    <button class="customTierBtn" @click="goFreeform">{{ auth.user ? '커스텀 티어표 만들기' : '로그인 후 커스텀 티어표 만들기' }}</button>
   </section>
 
   <div v-if="error" class="error">{{ error }}</div>
   <section class="grid">
-    <button class="card card--freeform" @click="goFreeform">
-      <div class="thumbWrap thumbWrap--freeform">
-        <div class="thumbFallback">+</div>
-      </div>
-      <div class="card__eyebrow">템플릿 없이 시작</div>
-      <div class="card__title">직접 티어표 만들기</div>
-    </button>
     <button v-for="g in games" :key="g.id" class="card" @click="goGame(g.id)">
       <div class="thumbWrap">
         <img v-if="thumbUrl(g)" class="thumb" :src="thumbUrl(g)" :alt="g.name" />
@@ -62,22 +62,40 @@ function thumbUrl(g) {
 </template>
 
 <style scoped>
-.hero {
-  padding: 18px 2px 14px;
+.topBar {
+  display: flex;
+  gap: 16px;
+  justify-content: space-between;
+  align-items: flex-start;
+  flex-wrap: wrap;
+  margin-top: 4px;
 }
-.hero__title {
-  font-size: 34px;
-  letter-spacing: -0.03em;
-  margin: 0 0 8px;
+.topBar__copy {
+  display: grid;
+  gap: 6px;
 }
-.hero__desc {
+.topBar__title {
   margin: 0;
-  opacity: 0.86;
+  font-size: 30px;
+  letter-spacing: -0.03em;
+}
+.topBar__desc {
+  margin: 0;
+  opacity: 0.78;
   line-height: 1.5;
 }
+.customTierBtn {
+  padding: 12px 16px;
+  border-radius: 14px;
+  border: 1px solid rgba(96, 165, 250, 0.28);
+  background: linear-gradient(135deg, rgba(96, 165, 250, 0.2), rgba(16, 185, 129, 0.16));
+  color: rgba(255, 255, 255, 0.96);
+  font-weight: 900;
+  cursor: pointer;
+}
 .grid {
   display: grid;
-  grid-template-columns: repeat(2, minmax(0, 1fr));
+  grid-template-columns: repeat(3, minmax(0, 1fr));
   gap: 14px;
   margin-top: 14px;
 }
@@ -104,12 +122,9 @@ function thumbUrl(g) {
   background: rgba(255, 255, 255, 0.07);
   border-color: rgba(255, 255, 255, 0.18);
 }
-.card--freeform {
-  background: linear-gradient(135deg, rgba(96, 165, 250, 0.12), rgba(16, 185, 129, 0.12));
-}
 .thumbWrap {
   width: 100%;
-  height: 140px;
+  aspect-ratio: 16 / 9;
   border-radius: 14px;
   border: 1px solid rgba(255, 255, 255, 0.12);
   background: rgba(0, 0, 0, 0.18);
@@ -117,11 +132,6 @@ function thumbUrl(g) {
   display: grid;
   place-items: center;
 }
-.thumbWrap--freeform {
-  background:
-    radial-gradient(circle at top, rgba(96, 165, 250, 0.18), transparent 50%),
-    rgba(0, 0, 0, 0.18);
-}
 .thumb {
   width: 100%;
   height: 100%;
@@ -136,16 +146,20 @@ function thumbUrl(g) {
   font-weight: 800;
   letter-spacing: -0.02em;
 }
-.card__eyebrow {
-  font-size: 12px;
-  font-weight: 800;
-  opacity: 0.7;
-  letter-spacing: 0.04em;
-  text-transform: uppercase;
-}
 @media (max-width: 720px) {
+  .topBar {
+    align-items: stretch;
+  }
+  .customTierBtn {
+    width: 100%;
+  }
   .grid {
     grid-template-columns: 1fr;
   }
 }
+@media (min-width: 721px) and (max-width: 1100px) {
+  .grid {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
 </style>

frontend/src/views/LoginView.vue

@@ -1,11 +1,14 @@
 <script setup>
-import { onMounted, ref } from 'vue'
-import { useRouter } from 'vue-router'
+import { onMounted, ref, watch } from 'vue'
+import { useRoute, useRouter } from 'vue-router'
 import { useAuthStore } from '../stores/auth'
 import { api } from '../lib/api'
+import { useToast } from '../composables/useToast'
 
 const router = useRouter()
+const route = useRoute()
 const auth = useAuthStore()
+const toast = useToast()
 
 const email = ref('')
 const password = ref('')
@@ -13,6 +16,12 @@ const mode = ref('login')
 const error = ref('')
 const hasUsers = ref(true)
 
+watch(error, (message) => {
+  if (!message) return
+  toast.error(message)
+  error.value = ''
+})
+
 onMounted(async () => {
   try {
     const meta = await api.authMeta()
@@ -27,7 +36,7 @@ async function submit() {
   try {
     if (mode.value === 'signup') await auth.signup(email.value, password.value)
     else await auth.login(email.value, password.value)
-    router.push('/me')
+    router.push(typeof route.query.redirect === 'string' ? route.query.redirect : '/me')
   } catch (e) {
     error.value = '로그인/회원가입에 실패했어요.'
   }
@@ -45,9 +54,6 @@ async function submit() {
           회원가입
         </button>
       </div>
-
-      <div v-if="error" class="error">{{ error }}</div>
-
       <label class="label">이메일</label>
       <input v-model="email" class="input" placeholder="you@example.com" autocomplete="email" />
 
@@ -102,13 +108,6 @@ async function submit() {
   background: rgba(96, 165, 250, 0.18);
   border-color: rgba(255, 255, 255, 0.16);
 }
-.error {
-  margin-bottom: 10px;
-  padding: 10px 12px;
-  border-radius: 12px;
-  border: 1px solid rgba(239, 68, 68, 0.3);
-  background: rgba(239, 68, 68, 0.12);
-}
 .label {
   display: block;
   font-size: 13px;
@@ -146,4 +145,3 @@ async function submit() {
   font-size: 13px;
 }
 </style>
-

frontend/src/views/MyTierListsView.vue

@@ -1,12 +1,21 @@
 <script setup>
-import { onMounted, ref } from 'vue'
+import { onMounted, ref, watch } from 'vue'
 import { useRouter } from 'vue-router'
 import { api } from '../lib/api'
+import { toApiUrl } from '../lib/runtime'
+import { useToast } from '../composables/useToast'
 
 const router = useRouter()
+const toast = useToast()
 const myLists = ref([])
 const error = ref('')
 
+watch(error, (message) => {
+  if (!message) return
+  toast.error(message)
+  error.value = ''
+})
+
 function fmt(ts) {
   return new Date(ts).toLocaleString(undefined, {
     year: 'numeric',
@@ -14,40 +23,77 @@ function fmt(ts) {
     day: '2-digit',
     hour: '2-digit',
     minute: '2-digit',
-    second: '2-digit',
   })
 }
 
+function displayNameOf(tierList) {
+  return tierList.authorName || '알 수 없음'
+}
+
+function avatarSrcOf(tierList) {
+  return tierList.authorAvatarSrc ? toApiUrl(tierList.authorAvatarSrc) : ''
+}
+
+function avatarFallbackOf(tierList) {
+  return (tierList.authorAccountName || 'u').trim().charAt(0).toUpperCase() || '?'
+}
+
+function tierListThumbnailUrl(tierList) {
+  return tierList.thumbnailSrc ? toApiUrl(tierList.thumbnailSrc) : ''
+}
+
 onMounted(async () => {
   try {
     const data = await api.listMyTierLists()
     myLists.value = data.tierLists || []
   } catch (e) {
-    error.value = '로그인이 필요해요.'
+    toast.error('로그인이 필요해요.')
+    router.push('/login?redirect=/me')
   }
 })
 
 function openList(t) {
   router.push(`/editor/${t.gameId}/${t.id}`)
 }
+
+async function removeList(t) {
+  error.value = ''
+  try {
+    const ok = window.confirm(`"${t.title}" 티어표를 삭제할까요?`)
+    if (!ok) return
+    await api.deleteTierList(t.id)
+    myLists.value = myLists.value.filter((entry) => entry.id !== t.id)
+    toast.success('티어표를 삭제했어요.')
+  } catch (e) {
+    error.value = '티어표 삭제에 실패했어요.'
+  }
+}
 </script>
 
 <template>
   <section class="wrap">
     <h2 class="title">내 티어표</h2>
     <div class="card">
-      <div v-if="error" class="error">
-        {{ error }}
-        <button class="link" @click="$router.push('/login')">로그인 하러가기</button>
-      </div>
       <div v-if="myLists.length === 0" class="empty">아직 저장한 티어표가 없어요.</div>
       <div v-else class="list">
-        <button v-for="t in myLists" :key="t.id" class="row" @click="openList(t)">
-          <div class="row__title">{{ t.title }}</div>
-          <div class="row__meta">
-            {{ t.gameId }} · 저장: {{ fmt(t.createdAt || t.updatedAt) }} · 업데이트: {{ fmt(t.updatedAt) }}
-          </div>
-        </button>
+        <article v-for="t in myLists" :key="t.id" class="row">
+          <button class="row__body" @click="openList(t)">
+            <div class="row__thumbWrap">
+              <img v-if="tierListThumbnailUrl(t)" class="row__thumb" :src="tierListThumbnailUrl(t)" :alt="t.title" />
+              <div v-else class="row__thumbPlaceholder"></div>
+            </div>
+            <div class="row__head">
+              <div class="row__title">{{ t.title }}</div>
+              <div class="row__author">
+                <img v-if="avatarSrcOf(t)" class="row__avatar" :src="avatarSrcOf(t)" :alt="displayNameOf(t)" />
+                <div v-else class="row__avatar row__avatar--fallback">{{ avatarFallbackOf(t) }}</div>
+                <span>by {{ displayNameOf(t) }}</span>
+              </div>
+            </div>
+            <div class="row__meta">{{ fmt(t.updatedAt) }}</div>
+          </button>
+          <button class="link link--danger" @click="removeList(t)">삭제</button>
+        </article>
       </div>
     </div>
   </section>
@@ -68,17 +114,6 @@ function openList(t) {
   border-radius: 16px;
   padding: 14px;
 }
-.error {
-  margin-bottom: 12px;
-  padding: 10px 12px;
-  border-radius: 12px;
-  border: 1px solid rgba(239, 68, 68, 0.3);
-  background: rgba(239, 68, 68, 0.12);
-  display: flex;
-  gap: 10px;
-  align-items: center;
-  justify-content: space-between;
-}
 .link {
   padding: 8px 10px;
   border-radius: 10px;
@@ -93,24 +128,99 @@ function openList(t) {
 }
 .list {
   display: grid;
-  gap: 10px;
+  grid-template-columns: repeat(3, minmax(0, 1fr));
+  gap: 14px;
 }
 .row {
-  text-align: left;
-  cursor: pointer;
-  padding: 12px;
+  display: grid;
+  gap: 10px;
   border-radius: 14px;
   border: 1px solid rgba(255, 255, 255, 0.10);
   background: rgba(0, 0, 0, 0.16);
   color: rgba(255, 255, 255, 0.92);
+  overflow: hidden;
+}
+.row__body {
+  flex: 1 1 auto;
+  min-width: 0;
+  text-align: left;
+  cursor: pointer;
+  border: 0;
+  background: transparent;
+  color: inherit;
+  padding: 0;
+  display: grid;
+  gap: 10px;
+}
+.row__thumbWrap {
+  width: 100%;
+  aspect-ratio: 16 / 9;
+  background: rgba(255, 255, 255, 0.03);
+}
+.row__thumb {
+  width: 100%;
+  height: 100%;
+  object-fit: cover;
+  display: block;
+}
+.row__thumbPlaceholder {
+  width: 100%;
+  height: 100%;
+  background:
+    linear-gradient(135deg, rgba(255,255,255,0.06), rgba(255,255,255,0.02));
 }
 .row__title {
   font-weight: 900;
+  min-width: 0;
+}
+.row__head {
+  padding: 0 14px;
+  display: flex;
+  gap: 12px;
+  align-items: center;
+  justify-content: space-between;
+  flex-wrap: wrap;
+}
+.row__author {
+  display: inline-flex;
+  gap: 8px;
+  align-items: center;
+  font-size: 13px;
+  opacity: 0.84;
+}
+.row__avatar {
+  width: 28px;
+  height: 28px;
+  border-radius: 999px;
+  object-fit: cover;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(255, 255, 255, 0.08);
+}
+.row__avatar--fallback {
+  display: grid;
+  place-items: center;
+  font-size: 12px;
+  font-weight: 900;
 }
 .row__meta {
+  padding: 0 14px;
   margin-top: 6px;
   opacity: 0.76;
   font-size: 13px;
 }
+.link--danger {
+  background: rgba(239, 68, 68, 0.14);
+  border-color: rgba(239, 68, 68, 0.28);
+  margin: 0 14px 14px;
+}
+@media (max-width: 1100px) {
+  .list {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
+@media (max-width: 720px) {
+  .list {
+    grid-template-columns: 1fr;
+  }
+}
 </style>
-

frontend/src/views/ProfileView.vue

@@ -1,11 +1,13 @@
 <script setup>
-import { computed, onMounted, ref } from 'vue'
+import { computed, onMounted, ref, watch } from 'vue'
 import { useRouter } from 'vue-router'
 import { useAuthStore } from '../stores/auth'
 import { toApiUrl } from '../lib/runtime'
+import { useToast } from '../composables/useToast'
 
 const router = useRouter()
 const auth = useAuthStore()
+const toast = useToast()
 
 const error = ref('')
 const saving = ref(false)
@@ -13,6 +15,12 @@ const nickname = ref('')
 const previewUrl = ref('')
 const avatarFile = ref(null)
 
+watch(error, (message) => {
+  if (!message) return
+  toast.error(message)
+  error.value = ''
+})
+
 const avatarUrl = computed(() => {
   if (previewUrl.value) return previewUrl.value
   if (!auth.user?.avatarSrc) return ''
@@ -55,6 +63,7 @@ async function saveProfile() {
       URL.revokeObjectURL(previewUrl.value)
       previewUrl.value = ''
     }
+    toast.success('프로필을 저장했어요.')
   } catch (e2) {
     error.value = '프로필 저장에 실패했어요.'
   } finally {
@@ -66,7 +75,6 @@ async function saveProfile() {
 <template>
   <section class="wrap">
     <h2 class="title">프로필</h2>
-    <div v-if="error" class="error">{{ error }}</div>
 
     <div class="card" v-if="auth.user">
       <div class="row">
@@ -102,13 +110,6 @@ async function saveProfile() {
   font-size: 26px;
   letter-spacing: -0.02em;
 }
-.error {
-  margin-bottom: 10px;
-  padding: 10px 12px;
-  border-radius: 12px;
-  border: 1px solid rgba(239, 68, 68, 0.3);
-  background: rgba(239, 68, 68, 0.12);
-}
 .card {
   max-width: 520px;
   border: 1px solid rgba(255, 255, 255, 0.12);