Правильно ли я понимаю аутентифакацию с использованием JWT?

Question

[nluparev]

есть некий api в котором запросы авторизовываются с использованием JWT и мне нужно получить данные от API следовательно нужно иметь JWT токен

мое текущее понимание следующее:

1. я отправляю user credential на некий эндпоинт которые при условии что переданные данные верны вернет мне JWT токен который будет содержать инфу обо мне, пользователе в payload и signature в которой зашифрована та же инфа что и в payload с использованием secret key который храниться на бэке

2. я сохраняю полученный при аутентификации пользователя JWT токен и использую его при каждом обращении к API указывая его в заголовках

правильно ли понял общую картину?

Answer 1

[JhaoDa]

Да.

Но есть и шаг №3: в ответ на каждый запрос вы получаете обновлённый токен с продлённым временем жизни, который и надо использовать для следующего запроса.