node.js – Qual a melhor formar de trabalhar com autenticação de uma api Adonis.js 5 com um aplicativo?

Sempre utilizei o adonis v4 para minhas api’s, e como solução para autenticação utilizo tokens JWT com tokens de refresh.

Porem recentemente estudando a versão 5 do adonis percebi que não existem mais tokens JWT com refresh tokens, e pesquisando percebi como essa abordagem da v4 é insegura ou não recomendada.

Pois então me surgiu várias duvidas, já que na versão atual o conceito utilizado é opaque access token que entendi não pode ser lido a não ser pelo emissor, até ai tudo bem, mas como ele também possui a possibilidade de expiração para ser invalidado, como eu deveria abordar o fato de não conseguir realizar o refresh token automático?

  • Se eu tenho um app e defino este token para expirar em 1 hora, quando expirar, eu devo forçar o usuário realizar o login novamente?
  • Eu consigo realizar o refresh token com outra abordagem?
  • Devo deixar o token com um tempo de expiração maior?