`jwt`는 토큰을 채우고, `session`은 UI에 노출할 값만 고른다
OAuth 응답을 그대로 클라이언트에 흘리지 않고, 토큰 저장 값과 세션 공개 값을 분리해야 한다.
시점
jwt 콜백
session 콜백
주의
로그인 직후
provider account, user 정보를 token에 저장
아직 클라이언트 세션이 만들어지는 중
access token 노출 범위를 정한다
요청마다
기존 token을 검증하고 필요한 값을 유지
token에서 UI에 필요한 값만 session에 복사
secret 변경은 기존 세션을 무효화할 수 있다
역할 확장
role, userId 같은 서버 권한 정보를 담음
클라이언트에 필요한 role만 전달
민감한 refresh token은 클라이언트로 보내지 않는다