Да, это хорошая статья. Так оно обычно и делается - bearer token и атрибуты
Authorize.
Кроме обычных токенов есть еще дополнительный тип - refresh token. Они используются в том случае, если срок жизни первого токена истекает и нужно его обновить. Использовать их необязательно - зависит от кейса. Но на всякий почитайте:
https://leastprivilege.com/2013/11/15/adding-refre... 
