Token lifecycle

JWT는 발급보다 검증과 만료 경로가 핵심이다

토큰을 만든 뒤에는 보호 라우트마다 서명, 만료, payload 기준을 같은 순서로 판정한다.

발급 → 요청 → 검증 → 거부

요청이 통과하는 순서

1

로그인 성공

사용자 식별자와 필요한 권한만 payload로 만든다.

2

서명 발급

secret 또는 private key로 access token을 짧게 발급한다.

3

보호 요청

클라이언트가 Authorization 헤더에 Bearer 토큰을 싣는다.

4

Guard 판정

서명과 만료가 맞으면 req.user를 만들고 핸들러로 넘긴다.