Что касается генерации токенов, вы можете взглянуть на то, что называется JWT .Как сказано на странице, JWT - это «метод безопасного представления претензий между двумя сторонами», что означает, что вы можете использовать его для проверки того, что пользователь, использующий вашу страницу, на самом деле является тем, кем он заявляет.Что касается других частей, то вы разработали стандартную стратегию preety (пользователь входит в систему, получает токен, использует этот токен для использования приложения без необходимости повторной регистрации).
Простое объяснение JWT, поскольку выбыло много вопросов:
JWT состоит из трех частей: заголовок, полезная нагрузка и подпись.Заголовок и полезная нагрузка являются общедоступными (т. Е. Пользователь, имеющий токен, может их прочитать, они только закодированы в Base64), поэтому не храните в них секретные данные (при этом имя пользователя и пароль хэшированные с солью должны подойти),Когда вы генерируете jwt, сервер вычисляет хэш заголовка + полезная нагрузка + секрет (секрет, известный только серверу) и помещает его в подпись.Затем, когда пользователь пытается аутентифицировать подпись, она должна соответствовать данным (поскольку сервер снова хэширует заголовок + полезную нагрузку + секрет и сравнивает его с подписью), и только тогда она принимается сервером.Таким образом, не зная, секретный пользователь не может изменить данные самостоятельно.JWT также реализует "из коробки" еще одну дополнительную функцию, которая может вас заинтересовать - срок действия.Таким образом, вы можете автоматически выйти из системы, если они не использовали страницу в течение определенного периода времени.Что касается обновления токенов, есть несколько способов, и вам нужно определить, какой путь вам подходит, Ссылка