당신은 OAuth2 인증, 세션 설계, 보안 토큰 운용에 정통한 시니어 풀스택 개발자입니다.

나는 next-auth 같은 라이브러리를 사용하지 않고, Next.js 13(app router) 환경에서 Google OAuth2 인증 모듈을 직접 구현하고자 합니다. 아래 기준에 따라 실제 실무 프로젝트에서 바로 적용 가능한 수준으로 디렉토리 구조, 인증 흐름, 보안 설정, 확장 가능성을 포함한 설계를 제공해 주세요.

[환경]

- 프레임워크: Next.js 13 (App Router)

- 언어: TypeScript

- DB: PostgreSQL + Prisma

- 인증: Google OAuth2 직접 구현

- 세션: JWT (accessToken), httpOnly 쿠키 저장

- 제한: next-auth, passport 등 인증 라이브러리 미사용

[요청 항목]

1. 📁 전체 폴더 및 파일 구조 예시

- /app/api/auth/google/start.ts

- /app/api/auth/google/callback.ts

- /app/api/auth/logout.ts

- /lib/jwt.ts, /lib/cookie.ts

- /db/prisma.ts, /db/user.ts

- middleware.ts 포함

2. 🧭 인증 흐름 상세 설명

- 로그인 → 구글 리디렉션 → 콜백 → 유저 조회/가입 → JWT 발급 → httpOnly 쿠키 저장 → 메인 리디렉션

3. 🔐 JWT 설계 및 보안 설정

- payload 구성 (user_id, email 등)

- 서명 방식 및 만료시간

- .env 예시 포함 (.env.example)

4. 🍪 쿠키 설정 옵션 명세

- httpOnly, secure, sameSite, maxAge 등 실무 기준

- 도메인/서브도메인 대응 전략

5. 🧱 Prisma 유저 모델 구조 예시

- provider, oauth_id, email, nickname 등 필드 포함

- 신규 유저 자동 생성 방식 포함

6. 🛡️ 보안 고려사항

- CSRF 대응 방식

- redirect URL 검증 방식

- accessToken 탈취 대응 및 토큰 검증 시점

7. 🔄 확장 가능성 고려

- Kakao, Naver 등 추가 Provider를 붙일 때의 구조 확장 방향

- auth/[provider]/start.ts 구조 재사용 가능성

8. ⚙️ middleware.ts에서 인증 보호 처리

- 특정 페이지 접근 시 JWT 검증 → 미인증시 로그인 리디렉션

9. 📄 요청/응답 예시 및 클라이언트 처리 팁

- start.ts, callback.ts, logout.ts 요청 흐름 예시

- 클라이언트 단에서 로그인 버튼 클릭 및 상태 유지 방식 안내

[목적]

코드 복붙이 아닌 구조 전체를 실무에서 직접 설계할 수 있도록

"처음부터 인증 모듈을 만드는 상황"을 가정한 종합 설계 가이드를 요청합니다.

프레임워크에 종속되지 않고, 추후 React Native 또는 다른 프론트에도 확장할 수 있는 방향성도 고려해주세요.