Split WORKS Drive archive variables

docs/works-drive-docker-image-archive.md

@@ -21,6 +21,8 @@ Gitea Actions의 shared image publish workflow는 `baron_sso/<service>:<image_ta
 - 선택 variable `WORKS_DRIVE_DOCKER_IMAGE_DIR=baron-sso`
 - variable `WORKS_DRIVE_DOCKER_IMAGE_DRIVE_ID`
 - 선택 variable `WORKS_DRIVE_DOCKER_IMAGE_PARENT_FILE_ID`
+- 선택 variable `WORKS_DRIVE_API_BASE_URL`
+- 선택 variable `WORKS_DRIVE_OAUTH_TOKEN_URL`
 - secret `WORKS_DRIVE_ACCESS_TOKEN`, 또는 variable `WORKS_DRIVE_ACCESS_TOKEN_FILE`, 또는 variable `WORKS_DRIVE_ACCESS_TOKEN_CMD`, 또는 refresh-token 방식의 secret `WORKS_DRIVE_REFRESH_TOKEN`
 - refresh-token 방식을 쓸 경우 secret `WORKS_DRIVE_OAUTH_CLIENT_ID`, secret `WORKS_OAUTH_CLIENT_SECRET`
 
@@ -44,6 +46,15 @@ Refresh Token Rotation이 켜져 있으면 WORKS가 refresh 응답에 새 Refres
 - Rotation을 켠 경우 publish run에서 rotated refresh token 경고가 나오면 `WORKS_DRIVE_REFRESH_TOKEN` secret을 수동 갱신한다.
 - secret 자동 갱신이 필요하면 Gitea secret write 전용 token을 별도 설계로 추가한다.
 
+## 변수 분리 원칙
+
+WORKS Drive archive 접근용 변수와 서비스 런타임용 WORKS Admin 변수는 분리한다.
+
+- archive 업로드/다운로드: `WORKS_DRIVE_API_BASE_URL`, `WORKS_DRIVE_OAUTH_TOKEN_URL`
+- backend 런타임 설정: `STG_WORKS_ADMIN_API_BASE_URL`, `STG_WORKS_ADMIN_OAUTH_TOKEN_URL`, `PROD_WORKS_ADMIN_API_BASE_URL`, `PROD_WORKS_ADMIN_OAUTH_TOKEN_URL`
+
+archive script는 호환성을 위해 기존 `WORKS_ADMIN_API_BASE_URL`, `WORKS_ADMIN_OAUTH_TOKEN_URL`도 fallback으로 읽지만, Gitea image publish/deploy workflow에서는 `WORKS_DRIVE_*` 변수를 사용한다.
+
 ## 저장 구조
 
 기본 최상위 디렉터리는 다음 환경 변수로 지정한다.
@@ -117,6 +128,8 @@ scripts/docker-image/upload_works_drive.sh
 - `WORKS_DRIVE_TARGET=sharedrive`
 - `WORKS_DRIVE_DOCKER_IMAGE_DRIVE_ID`
 - 선택: `WORKS_DRIVE_DOCKER_IMAGE_PARENT_FILE_ID`
+- 선택: `WORKS_DRIVE_API_BASE_URL`
+- 선택: `WORKS_DRIVE_OAUTH_TOKEN_URL`
 - `WORKS_DRIVE_ACCESS_TOKEN`, `WORKS_DRIVE_ACCESS_TOKEN_FILE`, `WORKS_DRIVE_ACCESS_TOKEN_CMD`, `WORKS_DRIVE_OAUTH_REFRESH_TOKEN`, 또는 서비스 계정 OAuth 변수
 
 업로드 전 packaging만 확인하려면 다음을 사용한다.