connectbase-client 3.22.1 → 3.24.0

package/dist/index.d.mts

@@ -159,7 +159,20 @@ declare class HttpClient {
      * `client.support.getRecentCalls()` 로 외부 노출.
      */
     private recentCalls;
+    /**
+     * 부팅 시 fire-and-forget 으로 시작한 cookie 기반 복구 promise. `prepareHeaders` 가
+     * 인증 호출을 보내기 직전에 이 promise 를 await 해, 페이지 진입 직후 첫 API 호출이
+     * 메모리 토큰 빈 상태로 401 받는 race 를 막는다 (platform-issue 019e638d, 2026-05-26).
+     * 한 번 settle 되면 그 결과(메모리 적재 또는 미로그인)가 항상 반영되어 있다.
+     */
+    private bootRestorePromise;
     constructor(config: HttpClientConfig);
+    /**
+     * 페이지 진입 시 fire-and-forget 으로 시작된 cookie 복구 promise 를 SDK 가 등록한다.
+     * 같은 promise 가 `prepareHeaders` 에서 await 되어, 첫 인증 호출이 cookie 복구
+     * 완료 후 발화한다.
+     */
+    setBootRestorePromise(p: Promise<boolean>): void;
     /** 최근 호출 ring buffer 스냅샷 (시간순). */
     getRecentCalls(): RecentApiCall[];
     /** 최근 호출 buffer clear (테스트/프라이버시 처리). */
@@ -254,8 +267,14 @@ declare class HttpClient {
     private handleResponse;
     /**
      * AbortController 를 관리하며 fetch 호출을 실행. 타임아웃/외부 signal 병합.
+     *
+     * 401 자동 복구: 인증 호출이 401 을 받으면 cookie 기반 복구를 *한 번* 시도하고 retry 한다.
+     * 메모리 토큰이 만료/누락 + cookie 는 살아 있는 경우를 자동으로 회복시켜,
+     * 페이지 진입 직후 race 로 401 을 받은 첫 호출이 사용자 흐름을 차단하지 않게 한다
+     * (platform-issue 019e638d, 2026-05-26). retry 는 1회 한정 — 무한 루프 차단.
      */
     private doFetch;
+    private tryFetchOnce;
     get<T>(url: string, config?: RequestConfig): Promise<T>;
     post<T>(url: string, data?: unknown, config?: RequestConfig): Promise<T>;
     put<T>(url: string, data: unknown, config?: RequestConfig): Promise<T>;
@@ -3744,9 +3763,10 @@ declare class OAuthAPI {
     getEnabledProviders(): Promise<EnabledProvidersResponse>;
     /**
      * 소셜 로그인 (리다이렉트 방식) - 권장
-     * Google Cloud Console에 별도로 redirect_uri를 등록할 필요가 없습니다.
-     * OAuth 완료 후 지정한 콜백 URL로 토큰과 함께 리다이렉트됩니다.
-     * 모든 배포 환경에서 안정적으로 동작합니다.
+     *
+     * 기존 회원만 로그인 (`intent=signin` 명시). 이 앱에서 처음인 사용자는 콜백에서
+     * `error=account_not_found` 를 받아 가입 안내 UX 로 분기해야 한다. 신규 가입까지 한 번에
+     * 처리하려면 [signUp] 을 사용한다.
      *
      * @param provider - OAuth 프로바이더 (google, naver, github, discord)
      * @param callbackUrl - OAuth 완료 후 리다이렉트될 앱의 URL
@@ -3754,27 +3774,30 @@ declare class OAuthAPI {
      *
      * @example
      * ```typescript
-     * // 로그인 버튼 클릭 시
+     * // "로그인" 버튼 클릭 시
      * await cb.oauth.signIn('google', 'https://myapp.com/oauth/callback')
-     * // Google 로그인 후 https://myapp.com/oauth/callback?access_token=...&refresh_token=... 로 리다이렉트됨
      * ```
      *
      * @example
      * ```typescript
      * // callback 페이지에서
-     * const result = cb.oauth.getCallbackResult()
-     * if (result) {
-     *     if (result.error) {
-     *         console.error('로그인 실패:', result.error)
-     *     } else {
-     *         console.log('로그인 성공:', result.member_id)
-     *         // 메인 페이지로 이동
-     *         window.location.href = '/'
-     *     }
+     * const result = await cb.oauth.getCallbackResult()
+     * if (result?.error === 'account_not_found') {
+     *     // 가입되지 않은 사용자 — 회원가입 화면으로 안내
+     *     window.location.href = '/signup'
      * }
      * ```
      */
     signIn(provider: OAuthProvider, callbackUrl: string, state?: string): Promise<void>;
+    /**
+     * 소셜 회원가입 (리다이렉트 방식) — 사용자가 명시적으로 가입 의사를 표시한 경우에만 호출.
+     *
+     * 기존 회원이면 그대로 로그인 (idempotent). 없으면 신규 AppMember 생성.
+     * "로그인" 버튼에는 [signIn] 을 쓰고, "회원가입" 버튼에서만 이 메서드를 호출해야 silent
+     * auto-signup 회귀를 방지할 수 있다.
+     */
+    signUp(provider: OAuthProvider, callbackUrl: string, state?: string): Promise<void>;
+    private startCentralOAuth;
     /**
      * 소셜 로그인 (팝업 방식)
      * 팝업 창에서 소셜 로그인을 처리하고 결과를 Promise로 반환합니다.
@@ -3799,29 +3822,40 @@ declare class OAuthAPI {
      * const result = await cb.oauth.signInWithPopup('google', 'https://myapp.com/oauth/callback')
      * ```
      */
-    signInWithPopup(provider: OAuthProvider, callbackUrl?: string): Promise<OAuthCallbackResponse>;
+    signInWithPopup(provider: OAuthProvider, callbackUrl?: string, options?: {
+        intent?: 'signin' | 'signup';
+    }): Promise<OAuthCallbackResponse>;
     /**
      * 콜백 URL에서 OAuth 결과 추출
      * 중앙 콜백 방식에서 리다이렉트 후 URL 파라미터에서 결과를 추출합니다.
      * 토큰이 있으면 자동으로 저장됩니다.
      *
+     * 본 메서드는 `Promise` 를 반환한다. 토큰 저장 직후 `cb_member_refresh_token`
+     * cookie 부트스트랩(`/v1/auth/re-issue` 1회)을 *await* 하기 위함이다. 표준 예제
+     * 코드는 결과를 await 한 다음 `window.location.href='/'` 로 이동하므로, cookie 가
+     * 브라우저에 안전하게 저장된 뒤 페이지가 전환된다.
+     *
+     * 이전(3.22.x) 의 fire-and-forget 부트스트랩은 모바일/느린 네트워크에서 navigation
+     * 이 fetch 보다 먼저 발화해 cookie 가 발급되지 않고, 새 페이지 진입 시 cookie
+     * 없는 상태로 `getMe()` 가 401 으로 떨어지는 회귀가 있었다 (platform-issue
+     * 019e638d, 2026-05-26).
+     *
      * @returns OAuth 결과 (토큰, member_id 등) 또는 null
      *
      * @example
      * ```typescript
      * // callback 페이지에서
-     * const result = cb.oauth.getCallbackResult()
+     * const result = await cb.oauth.getCallbackResult()
      * if (result) {
      *     if (result.error) {
      *         alert('로그인 실패: ' + result.error)
      *     } else {
-     *         console.log('로그인 성공:', result.member_id)
      *         window.location.href = '/'
      *     }
      * }
      * ```
      */
-    getCallbackResult(): {
+    getCallbackResult(): Promise<{
         access_token?: string;
         refresh_token?: string;
         member_id?: string;
@@ -3829,7 +3863,7 @@ declare class OAuthAPI {
         email?: string;
         state?: string;
         error?: string;
-    } | null;
+    } | null>;
     /**
      * 콜백 URL 에서 1회용 `code` 를 토큰으로 교환합니다 (`OAUTH_CODE_ONLY` 서버 모드용).
      *

package/dist/index.d.ts

@@ -159,7 +159,20 @@ declare class HttpClient {
      * `client.support.getRecentCalls()` 로 외부 노출.
      */
     private recentCalls;
+    /**
+     * 부팅 시 fire-and-forget 으로 시작한 cookie 기반 복구 promise. `prepareHeaders` 가
+     * 인증 호출을 보내기 직전에 이 promise 를 await 해, 페이지 진입 직후 첫 API 호출이
+     * 메모리 토큰 빈 상태로 401 받는 race 를 막는다 (platform-issue 019e638d, 2026-05-26).
+     * 한 번 settle 되면 그 결과(메모리 적재 또는 미로그인)가 항상 반영되어 있다.
+     */
+    private bootRestorePromise;
     constructor(config: HttpClientConfig);
+    /**
+     * 페이지 진입 시 fire-and-forget 으로 시작된 cookie 복구 promise 를 SDK 가 등록한다.
+     * 같은 promise 가 `prepareHeaders` 에서 await 되어, 첫 인증 호출이 cookie 복구
+     * 완료 후 발화한다.
+     */
+    setBootRestorePromise(p: Promise<boolean>): void;
     /** 최근 호출 ring buffer 스냅샷 (시간순). */
     getRecentCalls(): RecentApiCall[];
     /** 최근 호출 buffer clear (테스트/프라이버시 처리). */
@@ -254,8 +267,14 @@ declare class HttpClient {
     private handleResponse;
     /**
      * AbortController 를 관리하며 fetch 호출을 실행. 타임아웃/외부 signal 병합.
+     *
+     * 401 자동 복구: 인증 호출이 401 을 받으면 cookie 기반 복구를 *한 번* 시도하고 retry 한다.
+     * 메모리 토큰이 만료/누락 + cookie 는 살아 있는 경우를 자동으로 회복시켜,
+     * 페이지 진입 직후 race 로 401 을 받은 첫 호출이 사용자 흐름을 차단하지 않게 한다
+     * (platform-issue 019e638d, 2026-05-26). retry 는 1회 한정 — 무한 루프 차단.
      */
     private doFetch;
+    private tryFetchOnce;
     get<T>(url: string, config?: RequestConfig): Promise<T>;
     post<T>(url: string, data?: unknown, config?: RequestConfig): Promise<T>;
     put<T>(url: string, data: unknown, config?: RequestConfig): Promise<T>;
@@ -3744,9 +3763,10 @@ declare class OAuthAPI {
     getEnabledProviders(): Promise<EnabledProvidersResponse>;
     /**
      * 소셜 로그인 (리다이렉트 방식) - 권장
-     * Google Cloud Console에 별도로 redirect_uri를 등록할 필요가 없습니다.
-     * OAuth 완료 후 지정한 콜백 URL로 토큰과 함께 리다이렉트됩니다.
-     * 모든 배포 환경에서 안정적으로 동작합니다.
+     *
+     * 기존 회원만 로그인 (`intent=signin` 명시). 이 앱에서 처음인 사용자는 콜백에서
+     * `error=account_not_found` 를 받아 가입 안내 UX 로 분기해야 한다. 신규 가입까지 한 번에
+     * 처리하려면 [signUp] 을 사용한다.
      *
      * @param provider - OAuth 프로바이더 (google, naver, github, discord)
      * @param callbackUrl - OAuth 완료 후 리다이렉트될 앱의 URL
@@ -3754,27 +3774,30 @@ declare class OAuthAPI {
      *
      * @example
      * ```typescript
-     * // 로그인 버튼 클릭 시
+     * // "로그인" 버튼 클릭 시
      * await cb.oauth.signIn('google', 'https://myapp.com/oauth/callback')
-     * // Google 로그인 후 https://myapp.com/oauth/callback?access_token=...&refresh_token=... 로 리다이렉트됨
      * ```
      *
      * @example
      * ```typescript
      * // callback 페이지에서
-     * const result = cb.oauth.getCallbackResult()
-     * if (result) {
-     *     if (result.error) {
-     *         console.error('로그인 실패:', result.error)
-     *     } else {
-     *         console.log('로그인 성공:', result.member_id)
-     *         // 메인 페이지로 이동
-     *         window.location.href = '/'
-     *     }
+     * const result = await cb.oauth.getCallbackResult()
+     * if (result?.error === 'account_not_found') {
+     *     // 가입되지 않은 사용자 — 회원가입 화면으로 안내
+     *     window.location.href = '/signup'
      * }
      * ```
      */
     signIn(provider: OAuthProvider, callbackUrl: string, state?: string): Promise<void>;
+    /**
+     * 소셜 회원가입 (리다이렉트 방식) — 사용자가 명시적으로 가입 의사를 표시한 경우에만 호출.
+     *
+     * 기존 회원이면 그대로 로그인 (idempotent). 없으면 신규 AppMember 생성.
+     * "로그인" 버튼에는 [signIn] 을 쓰고, "회원가입" 버튼에서만 이 메서드를 호출해야 silent
+     * auto-signup 회귀를 방지할 수 있다.
+     */
+    signUp(provider: OAuthProvider, callbackUrl: string, state?: string): Promise<void>;
+    private startCentralOAuth;
     /**
      * 소셜 로그인 (팝업 방식)
      * 팝업 창에서 소셜 로그인을 처리하고 결과를 Promise로 반환합니다.
@@ -3799,29 +3822,40 @@ declare class OAuthAPI {
      * const result = await cb.oauth.signInWithPopup('google', 'https://myapp.com/oauth/callback')
      * ```
      */
-    signInWithPopup(provider: OAuthProvider, callbackUrl?: string): Promise<OAuthCallbackResponse>;
+    signInWithPopup(provider: OAuthProvider, callbackUrl?: string, options?: {
+        intent?: 'signin' | 'signup';
+    }): Promise<OAuthCallbackResponse>;
     /**
      * 콜백 URL에서 OAuth 결과 추출
      * 중앙 콜백 방식에서 리다이렉트 후 URL 파라미터에서 결과를 추출합니다.
      * 토큰이 있으면 자동으로 저장됩니다.
      *
+     * 본 메서드는 `Promise` 를 반환한다. 토큰 저장 직후 `cb_member_refresh_token`
+     * cookie 부트스트랩(`/v1/auth/re-issue` 1회)을 *await* 하기 위함이다. 표준 예제
+     * 코드는 결과를 await 한 다음 `window.location.href='/'` 로 이동하므로, cookie 가
+     * 브라우저에 안전하게 저장된 뒤 페이지가 전환된다.
+     *
+     * 이전(3.22.x) 의 fire-and-forget 부트스트랩은 모바일/느린 네트워크에서 navigation
+     * 이 fetch 보다 먼저 발화해 cookie 가 발급되지 않고, 새 페이지 진입 시 cookie
+     * 없는 상태로 `getMe()` 가 401 으로 떨어지는 회귀가 있었다 (platform-issue
+     * 019e638d, 2026-05-26).
+     *
      * @returns OAuth 결과 (토큰, member_id 등) 또는 null
      *
      * @example
      * ```typescript
      * // callback 페이지에서
-     * const result = cb.oauth.getCallbackResult()
+     * const result = await cb.oauth.getCallbackResult()
      * if (result) {
      *     if (result.error) {
      *         alert('로그인 실패: ' + result.error)
      *     } else {
-     *         console.log('로그인 성공:', result.member_id)
      *         window.location.href = '/'
      *     }
      * }
      * ```
      */
-    getCallbackResult(): {
+    getCallbackResult(): Promise<{
         access_token?: string;
         refresh_token?: string;
         member_id?: string;
@@ -3829,7 +3863,7 @@ declare class OAuthAPI {
         email?: string;
         state?: string;
         error?: string;
-    } | null;
+    } | null>;
     /**
      * 콜백 URL 에서 1회용 `code` 를 토큰으로 교환합니다 (`OAUTH_CODE_ONLY` 서버 모드용).
      *

package/dist/index.js

@@ -171,11 +171,26 @@ var HttpClient = class {
      * `client.support.getRecentCalls()` 로 외부 노출.
      */
     this.recentCalls = new RecentCallsBuffer();
+    /**
+     * 부팅 시 fire-and-forget 으로 시작한 cookie 기반 복구 promise. `prepareHeaders` 가
+     * 인증 호출을 보내기 직전에 이 promise 를 await 해, 페이지 진입 직후 첫 API 호출이
+     * 메모리 토큰 빈 상태로 401 받는 race 를 막는다 (platform-issue 019e638d, 2026-05-26).
+     * 한 번 settle 되면 그 결과(메모리 적재 또는 미로그인)가 항상 반영되어 있다.
+     */
+    this.bootRestorePromise = null;
     this.config = { ...config };
     this.storageKey = this.buildStorageKey();
     this.warnIfUnsafePersistence();
     this.restoreTokens();
   }
+  /**
+   * 페이지 진입 시 fire-and-forget 으로 시작된 cookie 복구 promise 를 SDK 가 등록한다.
+   * 같은 promise 가 `prepareHeaders` 에서 await 되어, 첫 인증 호출이 cookie 복구
+   * 완료 후 발화한다.
+   */
+  setBootRestorePromise(p) {
+    this.bootRestorePromise = p.catch(() => false);
+  }
   /** 최근 호출 ring buffer 스냅샷 (시간순). */
   getRecentCalls() {
     return this.recentCalls.snapshot();
@@ -518,6 +533,12 @@ var HttpClient = class {
     if (credential) {
       headers.set("X-Public-Key", credential);
     }
+    if (!config?.skipAuth && !this.config.accessToken && this.config.publicKey && typeof window !== "undefined" && this.bootRestorePromise) {
+      try {
+        await this.bootRestorePromise;
+      } catch {
+      }
+    }
     if (!config?.skipAuth && this.config.accessToken) {
       let token = this.config.accessToken;
       if (this.isTokenExpired(token) && this.config.refreshToken) {
@@ -590,22 +611,35 @@ var HttpClient = class {
   }
   /**
    * AbortController 를 관리하며 fetch 호출을 실행. 타임아웃/외부 signal 병합.
+   *
+   * 401 자동 복구: 인증 호출이 401 을 받으면 cookie 기반 복구를 *한 번* 시도하고 retry 한다.
+   * 메모리 토큰이 만료/누락 + cookie 는 살아 있는 경우를 자동으로 회복시켜,
+   * 페이지 진입 직후 race 로 401 을 받은 첫 호출이 사용자 흐름을 차단하지 않게 한다
+   * (platform-issue 019e638d, 2026-05-26). retry 는 1회 한정 — 무한 루프 차단.
    */
   async doFetch(url, init, config) {
-    const { signal, cleanup } = createTimeoutController({
-      timeout: config?.timeout ?? this.config.requestTimeoutMs ?? DEFAULT_REQUEST_TIMEOUT_MS,
-      signal: config?.signal
-    });
     const startedAt = Date.now();
     let status = 0;
     try {
-      const response = await fetch(`${this.config.baseUrl}${url}`, {
-        ...init,
-        credentials: "include",
-        signal
-      });
-      status = response.status;
-      return await this.handleResponse(response);
+      const first = await this.tryFetchOnce(url, init, config);
+      status = first.status;
+      if (!first.ok && first.status === 401 && !config?.skipAuth && this.config.publicKey && typeof window !== "undefined") {
+        const recovered = await this.tryRestoreSessionFromCookie();
+        if (recovered) {
+          const retryHeaders = await this.prepareHeaders(config);
+          if (init.body instanceof FormData) {
+            retryHeaders.delete("Content-Type");
+          }
+          const second = await this.tryFetchOnce(
+            url,
+            { ...init, headers: retryHeaders },
+            config
+          );
+          status = second.status;
+          return await this.handleResponse(second.response);
+        }
+      }
+      return await this.handleResponse(first.response);
     } finally {
       this.recentCalls.push({
         method: (init.method || "GET").toUpperCase(),
@@ -614,6 +648,21 @@ var HttpClient = class {
         duration_ms: Date.now() - startedAt,
         timestamp: (/* @__PURE__ */ new Date()).toISOString()
       });
+    }
+  }
+  async tryFetchOnce(url, init, config) {
+    const { signal, cleanup } = createTimeoutController({
+      timeout: config?.timeout ?? this.config.requestTimeoutMs ?? DEFAULT_REQUEST_TIMEOUT_MS,
+      signal: config?.signal
+    });
+    try {
+      const response = await fetch(`${this.config.baseUrl}${url}`, {
+        ...init,
+        credentials: "include",
+        signal
+      });
+      return { response, ok: response.ok, status: response.status };
+    } finally {
       cleanup();
     }
   }
@@ -4684,9 +4733,10 @@ var OAuthAPI = class {
   }
   /**
    * 소셜 로그인 (리다이렉트 방식) - 권장
-   * Google Cloud Console에 별도로 redirect_uri를 등록할 필요가 없습니다.
-   * OAuth 완료 후 지정한 콜백 URL로 토큰과 함께 리다이렉트됩니다.
-   * 모든 배포 환경에서 안정적으로 동작합니다.
+   *
+   * 기존 회원만 로그인 (`intent=signin` 명시). 이 앱에서 처음인 사용자는 콜백에서
+   * `error=account_not_found` 를 받아 가입 안내 UX 로 분기해야 한다. 신규 가입까지 한 번에
+   * 처리하려면 [signUp] 을 사용한다.
    *
    * @param provider - OAuth 프로바이더 (google, naver, github, discord)
    * @param callbackUrl - OAuth 완료 후 리다이렉트될 앱의 URL
@@ -4694,28 +4744,35 @@ var OAuthAPI = class {
    *
    * @example
    * ```typescript
-   * // 로그인 버튼 클릭 시
+   * // "로그인" 버튼 클릭 시
    * await cb.oauth.signIn('google', 'https://myapp.com/oauth/callback')
-   * // Google 로그인 후 https://myapp.com/oauth/callback?access_token=...&refresh_token=... 로 리다이렉트됨
    * ```
    *
    * @example
    * ```typescript
    * // callback 페이지에서
-   * const result = cb.oauth.getCallbackResult()
-   * if (result) {
-   *     if (result.error) {
-   *         console.error('로그인 실패:', result.error)
-   *     } else {
-   *         console.log('로그인 성공:', result.member_id)
-   *         // 메인 페이지로 이동
-   *         window.location.href = '/'
-   *     }
+   * const result = await cb.oauth.getCallbackResult()
+   * if (result?.error === 'account_not_found') {
+   *     // 가입되지 않은 사용자 — 회원가입 화면으로 안내
+   *     window.location.href = '/signup'
    * }
    * ```
    */
   async signIn(provider, callbackUrl, state) {
-    const params = new URLSearchParams({ app_callback: callbackUrl });
+    return this.startCentralOAuth(provider, callbackUrl, state, "signin");
+  }
+  /**
+   * 소셜 회원가입 (리다이렉트 방식) — 사용자가 명시적으로 가입 의사를 표시한 경우에만 호출.
+   *
+   * 기존 회원이면 그대로 로그인 (idempotent). 없으면 신규 AppMember 생성.
+   * "로그인" 버튼에는 [signIn] 을 쓰고, "회원가입" 버튼에서만 이 메서드를 호출해야 silent
+   * auto-signup 회귀를 방지할 수 있다.
+   */
+  async signUp(provider, callbackUrl, state) {
+    return this.startCentralOAuth(provider, callbackUrl, state, "signup");
+  }
+  async startCentralOAuth(provider, callbackUrl, state, intent) {
+    const params = new URLSearchParams({ app_callback: callbackUrl, intent });
     if (state) {
       params.append("state", state);
     }
@@ -4748,14 +4805,14 @@ var OAuthAPI = class {
    * const result = await cb.oauth.signInWithPopup('google', 'https://myapp.com/oauth/callback')
    * ```
    */
-  async signInWithPopup(provider, callbackUrl) {
+  async signInWithPopup(provider, callbackUrl, options = {}) {
     const params = new URLSearchParams();
+    params.set("intent", options.intent ?? "signin");
     if (callbackUrl) {
       params.set("app_callback", callbackUrl);
     }
-    const queryStr = params.toString();
     const response = await this.http.get(
-      `/v1/public/oauth/${provider}/authorize/central${queryStr ? "?" + queryStr : ""}`
+      `/v1/public/oauth/${provider}/authorize/central?${params.toString()}`
     );
     const width = 500;
     const height = 600;
@@ -4794,7 +4851,10 @@ var OAuthAPI = class {
           ...typeof rawEmail === "string" && rawEmail.length > 0 ? { email: rawEmail } : {}
         };
         this.http.setTokens(result.access_token, result.refresh_token);
-        void this.http.bootstrapRefreshCookie();
+        try {
+          await this.http.bootstrapRefreshCookie();
+        } catch {
+        }
         resolve(result);
       };
       window.addEventListener("message", handleMessage);
@@ -4827,23 +4887,32 @@ var OAuthAPI = class {
    * 중앙 콜백 방식에서 리다이렉트 후 URL 파라미터에서 결과를 추출합니다.
    * 토큰이 있으면 자동으로 저장됩니다.
    *
+   * 본 메서드는 `Promise` 를 반환한다. 토큰 저장 직후 `cb_member_refresh_token`
+   * cookie 부트스트랩(`/v1/auth/re-issue` 1회)을 *await* 하기 위함이다. 표준 예제
+   * 코드는 결과를 await 한 다음 `window.location.href='/'` 로 이동하므로, cookie 가
+   * 브라우저에 안전하게 저장된 뒤 페이지가 전환된다.
+   *
+   * 이전(3.22.x) 의 fire-and-forget 부트스트랩은 모바일/느린 네트워크에서 navigation
+   * 이 fetch 보다 먼저 발화해 cookie 가 발급되지 않고, 새 페이지 진입 시 cookie
+   * 없는 상태로 `getMe()` 가 401 으로 떨어지는 회귀가 있었다 (platform-issue
+   * 019e638d, 2026-05-26).
+   *
    * @returns OAuth 결과 (토큰, member_id 등) 또는 null
    *
    * @example
    * ```typescript
    * // callback 페이지에서
-   * const result = cb.oauth.getCallbackResult()
+   * const result = await cb.oauth.getCallbackResult()
    * if (result) {
    *     if (result.error) {
    *         alert('로그인 실패: ' + result.error)
    *     } else {
-   *         console.log('로그인 성공:', result.member_id)
    *         window.location.href = '/'
    *     }
    * }
    * ```
    */
-  getCallbackResult() {
+  async getCallbackResult() {
     const params = new URLSearchParams(window.location.search);
     const error = params.get("error");
     if (error) {
@@ -4875,7 +4944,7 @@ var OAuthAPI = class {
       return result;
     }
     this.http.setTokens(accessToken, refreshToken);
-    void this.http.bootstrapRefreshCookie();
+    await this.http.bootstrapRefreshCookie();
     return result;
   }
   /**
@@ -4914,7 +4983,7 @@ var OAuthAPI = class {
       return result;
     }
     this.http.setTokens(result.access_token, result.refresh_token);
-    void this.http.bootstrapRefreshCookie();
+    await this.http.bootstrapRefreshCookie();
     return result;
   }
 };
@@ -10593,7 +10662,7 @@ var ConnectBase = class {
     this.auth._attachAnalytics(this.analytics);
     const shouldAutoRestore = config.autoRestoreSession ?? true;
     if (shouldAutoRestore && typeof window !== "undefined" && !this.isOAuthCallbackUrl()) {
-      void this.http.tryRestoreSessionFromCookie();
+      this.http.setBootRestorePromise(this.http.tryRestoreSessionFromCookie());
     }
   }
   /**