자격 증명 확인
AuthService가 사용자 정보를 검증하고 토큰에 담을 최소 payload를 결정합니다.
토큰 처리 흐름
로그인 토큰 계약
JWT는 서버 세션 없이 인증 상태를 전달하지만 secret, 만료, payload 설계가 흔들리면 보안 위험이 커집니다.
access token 생성
JwtService.sign으로 subject, roles, 만료 시간을 포함한 토큰을 만듭니다.
Authorization 헤더
클라이언트는 Bearer 형식으로 토큰을 보내고 서버는 서명과 만료를 확인합니다.
JwtAuthGuard
성공한 payload를 request.user로 연결해 보호 라우트에서 사용자 정보를 사용합니다.