Я разрабатываю REST-приложение с собственным механизмом аутентификации и авторизации. Я хочу использовать JSON Web Tokens для аутентификации. Является ли следующее допустимой и безопасной реализацией?

Будет разработан API REST для принятия имени пользователя и пароля и выполнения аутентификации. Используемый метод HTTP - это POST, поэтому кэширование отсутствует. Также будет SSL для безопасности во время транзитаВо время аутентификации будут созданы два JWT - токен доступа и токен обновления. Обновить токен будет иметь более длительный срок действия. Оба токена будут записаны в куки, чтобы они отправлялись при каждом последующем запросе.При каждом вызове API REST токены будут извлекаться из заголовка HTTP. Если токен доступа не истек, проверьте права пользователя и разрешите доступ соответственно. Если срок действия токена истек, но токен обновления действителен, заново создайте новый токен доступа и обновите токен с новыми датами истечения срока действия (выполните все необходимые проверки, чтобы убедиться, что права пользователя на аутентификацию не аннулированы) и отправили обратно через файлы cookieПредоставьте API REST для выхода из системы, который будет сбрасывать cookie, и, следовательно, последующие вызовы API будут отклоняться до завершения входа в систему.

Мое понимание токена обновления здесь:

Из-за наличия токена обновления мы можем сократить срок действия токена доступа и часто проверять (по истечении срока действия токена), что пользователь все еще авторизован для входа в систему.

Пожалуйста, поправьте меня, если я ошибаюсь.