토큰을 만든 뒤에는 보호 라우트마다 서명, 만료, payload 기준을 같은 순서로 판정한다.
사용자 식별자와 필요한 권한만 payload로 만든다.
secret 또는 private key로 access token을 짧게 발급한다.
클라이언트가 Authorization 헤더에 Bearer 토큰을 싣는다.
서명과 만료가 맞으면 req.user를 만들고 핸들러로 넘긴다.