JWT를 사용자 로그인 유지 수단으로 사용하는 것은 권장되지 않습니다.

JWT는 짧은 수명의 토큰(약 5분 이하)을 위해 설계되었으며, 세션처럼 긴 수명을 요구하는 용도에는 적합하지 않습니다.

또한, JWT 기반의 무상태(stateless) 인증은 보안상 현실적으로 어렵고, 상태(state)를 관리하는 세션 쿠키 방식이 더 안전하고 효율적입니다.

JWT 사양 자체가 보안 전문가들 사이에서 신뢰받지 못하며, 위조 토큰 생성 가능성과 기타 설계상의 문제점이 존재합니다.

구글도 사용자 세션에는 JWT가 아닌 일반적인 쿠키 세션을 사용하며, JWT는 주로 단기적인 싱글 사인온(SSO) 용도로 활용됩니다.

JWT 사용의 적절한 사례는 내부 서비스 간 인증 토큰으로, 짧은 수명과 제한된 사용을 전제로 합니다.

결론적으로, 사용자 인증 세션에는 전통적인 쿠키 기반 세션 관리를 사용하는 것이 보안과 편의성 측면에서 우수합니다.