로그인 성공 후 사용자 식별자와 역할처럼 필요한 최소 정보만 담습니다.
비밀키와 만료 시간을 환경 변수로 분리해 운영 환경에서 바꿀 수 있게 둡니다.
JwtStrategy가 토큰 서명과 만료를 확인한 뒤 request.user를 만듭니다.
민감한 API에는 JwtAuthGuard를 붙여 인증된 요청만 통과시킵니다.