refactor(core): 브라우저 인증 유틸리티 코어 집중화

@fieldstack/core/browser (browser-fetch.ts)에 추가:
- apiCall<T>: apiFetch + Fieldstack JSON 파싱 ({ success, data, error }) 표준 래퍼
  - Content-Type: application/json 자동 첨부
  - 빈 응답(204) 안전 처리
  - 모듈 api.ts의 공통 패턴을 코어 한 곳으로 집중
- FS_TOKEN, FS_REFRESH: sessionStorage 키 상수 export

적용:
- ChangePasswordView: fetch + 수동 토큰 → apiCall로 교체
- AdminPinModal: fetch + 수동 토큰 → apiFetch로 교체
- LedgerView: 로컬 typed wrapper 제거, apiCall 직접 사용
- lib/apiFetch.ts: apiCall, FS_TOKEN, FS_REFRESH re-export 추가

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

Author: SOIV

apps/web/src/components/AdminPinModal.tsx

@@ -2,6 +2,8 @@ import { useEffect, useState, type FormEvent } from "react";
 
 import { Button, Modal, PinInput } from "@fieldstack/controls";
 
+import { apiFetch } from "../lib/apiFetch";
+
 const MAX_ATTEMPTS = 5;
 const LOCKOUT_SECONDS = 300; // 5분
 
@@ -45,13 +47,9 @@ export function AdminPinModal({ onVerified, onClose }: AdminPinModalProps) {
 
     setIsVerifying(true);
     try {
-      const token = sessionStorage.getItem("fs_token") ?? "";
-      const res = await fetch("/admin/verify-pin", {
+      const res = await apiFetch("/admin/verify-pin", {
         method: "POST",
-        headers: {
-          "Content-Type": "application/json",
-          Authorization: `Bearer ${token}`,
-        },
+        headers: { "Content-Type": "application/json" },
         body: JSON.stringify({ pin }),
       });
 

apps/web/src/lib/apiFetch.ts

@@ -2,4 +2,4 @@
  * @fieldstack/core/browser의 apiFetch를 re-export합니다.
  * 실제 구현은 packages/core/src/browser-fetch.ts에 있습니다.
  */
-export { apiFetch, setSessionExpiredHandler } from '@fieldstack/core/browser';
+export { apiFetch, apiCall, setSessionExpiredHandler, FS_TOKEN, FS_REFRESH } from '@fieldstack/core/browser';

apps/web/src/views/ChangePasswordView.tsx

@@ -2,6 +2,8 @@ import { useState, type FormEvent } from "react";
 
 import { PASSWORD_POLICY, validatePassword } from "@fieldstack/core/browser";
 
+import { apiCall } from "../lib/apiFetch";
+
 import { Alert, Button, FormField, Input } from "@fieldstack/controls";
 
 import "../styles/change-password.css";
@@ -37,17 +39,10 @@ export function ChangePasswordView({ isFirstLogin, onChanged }: ChangePasswordVi
     if (!canSubmit) return;
     setApiError("");
     try {
-      const token = sessionStorage.getItem("fs_token") ?? "";
-      const res = await fetch("/auth/password/change", {
+      await apiCall("/auth/password/change", {
         method: "POST",
-        headers: { "Content-Type": "application/json", Authorization: `Bearer ${token}` },
         body: JSON.stringify({ newPassword: next.value }),
       });
-      const json = await res.json() as { success: boolean; error?: string };
-      if (!res.ok || !json.success) {
-        setApiError(json.error ?? "비밀번호 변경에 실패했습니다.");
-        return;
-      }
       onChanged();
     } catch {
       setApiError("서버 연결 오류. 다시 시도해주세요.");

modules/ledger/frontend/LedgerView.tsx

@@ -12,8 +12,8 @@ import {
   Spinner,
 } from "@fieldstack/controls";
 import type { TableColumn } from "@fieldstack/controls";
-// apiFetch: @fieldstack/core/browser의 re-export (토큰 갱신·세션 만료 처리 포함)
-import { apiFetch as coreFetch } from "../../../apps/web/src/lib/apiFetch";
+// apiCall: @fieldstack/core/browser의 re-export (토큰 갱신·세션 만료·JSON 파싱 포함)
+import { apiCall } from "../../../apps/web/src/lib/apiFetch";
 
 // ── 공유 타입 (modules/ledger/types/index.ts와 동일하게 유지) ─
 
@@ -71,19 +71,10 @@ interface LedgerSummary {
 type EntryRow = LedgerEntry & Record<string, unknown>;
 
 // ── API 헬퍼 ─────────────────────────────────────────────────
-// 토큰 갱신·세션 만료 처리는 @fieldstack/core/browser의 apiFetch가 담당한다.
-
-async function apiFetch<T>(path: string, opts?: RequestInit): Promise<T> {
-  const res = await coreFetch(path, {
-    ...opts,
-    headers: { "Content-Type": "application/json", ...(opts?.headers ?? {}) },
-  });
-  const text = await res.text();
-  if (!text) return undefined as T;
-  const json = JSON.parse(text) as { success: boolean; data?: T; error?: unknown };
-  if (!json.success) throw new Error(String(json.error ?? "API 오류"));
-  return json.data as T;
-}
+// apiCall: 토큰 갱신·세션 만료·JSON 파싱을 @fieldstack/core/browser에서 처리
+
+// LedgerView 전용 별칭 — 내부에서 apiFetch<T> 로 호출하던 패턴 유지
+const apiFetch = apiCall;
 
 // ── 금액 포맷 ─────────────────────────────────────────────────
 

packages/core/src/browser-fetch.ts

@@ -1,16 +1,21 @@
 /**
- * apiFetch — 인증 토큰 자동 첨부 + 만료 시 자동 갱신
+ * Fieldstack 브라우저 인증 유틸리티
  *
- * Fieldstack 플랫폼의 모든 모듈이 공유하는 인증 fetch 래퍼.
- * Vite 번들 내에서 모듈 싱글턴을 공유하므로 main.tsx에서 등록한
- * setSessionExpiredHandler가 모든 모듈의 apiFetch 호출에 적용된다.
+ * apiFetch  — 인증 토큰 자동 첨부 + 만료 시 자동 갱신 (raw Response 반환)
+ * apiCall   — apiFetch + Fieldstack JSON 응답({ success, data, error }) 파싱
+ * FS_TOKEN, FS_REFRESH — sessionStorage 키 상수
  *
  * 사용법:
- *   import { apiFetch, setSessionExpiredHandler } from '@fieldstack/core/browser';
+ *   import { apiFetch, apiCall, setSessionExpiredHandler } from '@fieldstack/core/browser';
  */
 
-const SS_TOKEN = 'fs_token';
-const SS_REFRESH = 'fs_refresh';
+/** sessionStorage 인증 토큰 키 */
+export const FS_TOKEN = 'fs_token';
+/** sessionStorage 리프레시 토큰 키 */
+export const FS_REFRESH = 'fs_refresh';
+
+const SS_TOKEN = FS_TOKEN;
+const SS_REFRESH = FS_REFRESH;
 
 type SessionExpiredHandler = () => void;
 let sessionExpiredHandler: SessionExpiredHandler | null = null;
@@ -87,3 +92,29 @@ export async function apiFetch(input: string, init: RequestInit = {}): Promise<R
 
   return fetch(input, attachAuth(init, newToken));
 }
+
+/**
+ * Fieldstack JSON API 호출 유틸리티.
+ *
+ * apiFetch 위에서 동작하며 Fieldstack 표준 응답 형식을 자동으로 파싱한다:
+ *   { success: boolean; data?: T; error?: string }
+ *
+ * - Content-Type: application/json 헤더 자동 첨부
+ * - 빈 응답(204 No Content 등)은 undefined로 반환
+ * - success: false 시 error 메시지로 Error를 throw
+ *
+ * 모듈 api.ts에서 사용하는 표준 패턴:
+ *   import { apiCall } from '@fieldstack/core/browser';
+ *   const data = await apiCall<MyType>('/api/my-module/items');
+ */
+export async function apiCall<T>(path: string, init?: RequestInit): Promise<T> {
+  const res = await apiFetch(path, {
+    ...init,
+    headers: { 'Content-Type': 'application/json', ...(init?.headers ?? {}) },
+  });
+  const text = await res.text();
+  if (!text) return undefined as T;
+  const json = JSON.parse(text) as { success: boolean; data?: T; error?: unknown };
+  if (!json.success) throw new Error(String(json.error ?? 'API error'));
+  return json.data as T;
+}