Estou desenvolvendo um aplicativo REST com seu próprio mecanismo de autenticação e autorização. Eu quero usar JSON Web Tokens para autenticação. A implementação a seguir é válida e segura?

Uma API REST será desenvolvida para aceitar nome de usuário e senha e fazer a autenticação. O método HTTP a ser usado é POST, para que não haja armazenamento em cache. Além disso, haverá SSL para segurança no momento do trânsitoNo momento da autenticação, dois JWTs serão criados - acessar o token e atualizar o token. Atualizar token terá validade mais longa. Ambos os tokens serão gravados em cookies, para que sejam enviados em todas as solicitações subsequentesEm cada chamada da API REST, os tokens serão recuperados do cabeçalho HTTP. Se o token de acesso não tiver expirado, verifique os privilégios do usuário e permita o acesso de acordo. Se o token de acesso expirou, mas o token de atualização é válido, recrie o novo token de acesso e o token de atualização com novas datas de validade (faça todas as verificações necessárias para garantir que os direitos de autenticação do usuário não sejam revogados) e devolvido pelos CookiesForneça uma API REST de logout que redefinirá o cookie e, portanto, as chamadas subsequentes à API serão rejeitadas até que o logon seja concluído.

Meu entendimento do token de atualização aqui é:

Devido à presença do token de atualização, podemos manter um período de validade mais curto para o token de acesso e verificar com freqüência (na expiração do token de acesso) se o usuário ainda está autorizado a efetuar login.

Por favor corrija-me se eu estiver errado.