한 endpoint URL로 전체 서빙 #120

docs/auth-flow.md

@@ -33,7 +33,7 @@
 ### 2.3 QR 로그인
 1. `POST /api/v1/auth/qr/init` → `qrCode`, `pendingRef` 수신
 2. 웹은 `POST /api/v1/auth/qr/poll`로 폴링
-3. 모바일 앱은 `POST /api/v1/auth/qr/approve`로 승인
+3. 모바일 앱은 `POST /api/v1/auth/qr/approve`로 승인 (모바일 세션 토큰은 승인 검증용)
 4. Polling 응답에서 `sessionJwt` 수신
 
 ### 2.4 SMS 코드 로그인
@@ -71,7 +71,7 @@
 - **ID/Password 로그인**: IDP 추상화 사용 (Ory/Descope) — 정상
 - **Enchanted/Magic Link**: 현재는 Descope 기반 로직이 포함됨. Ory 전환 시 Kratos `code/link` 플로우로 교체 필요
 - **SMS 코드**: 내부 토큰(placeholder). Kratos 세션 교환 로직 추가 필요
-- **QR 로그인**: 모바일 세션 토큰을 웹 세션으로 전달. Ory일 경우 Kratos 세션 토큰을 전달하도록 UI/토큰 저장 방식 정비 필요
+- **QR 로그인**: 모바일 세션 토큰은 승인 검증용으로만 사용하고, 백엔드에서 웹 전용 세션을 새로 발급
 
 ---