JWTSessionHandler 에 대해 의문이들어 남깁니당

[jar100]

안녕하세요 현재 개발을 얼마하지 않은 신입개발자 입니다. 현재 저희 회사에서 ax-boot framework 기반의 admin 페이지를 사용중인대요 jwtsessionHandler 를 보던중 의문의 들어 문의 합니다.

jwt 는 기본적으로 header, payload, signature 로 구성되 있는것으로 알고 있습니다. 하지만 jwtsessionHandler 는 이 jwt 에 해더에 sessionUser 를 저장하는 구조로 되었어 보입니다. 그래서 테스트해보니 생성되는 jwt 가 header에 정보가 다 담기게 되더라구요 그리고 expirydate 같은 가변정보가 없다보니
생성된 jwt 가 동일해 보이는데 쿠키가 탈취되면 생성되는 jwt 는 같기 때문에 항상 접속될 것으로 생각됩니다.
제가 생각하기에 쿠키로 아이디와 페스워드를 넘기는것과 다를게 없다고 생각되는데 이거에 대해 어떻게 생각하시는지 궁금합니다. 제가 잘못알고있다면 알려주시 수 있으시갈까요?

그리고 좋은 프레임워크 재공해주셔서 감사합니다.