Estoy creando una API de descanso con nextjs que interactuará con la aplicación móvil y la aplicación web. y mi pregunta es una mala práctica a la siguiente como la autenticación sin comprobar las sesiones. esquema mysql.

Usuarios de mesa.

ID ID DE USUARIO NOMBRE DE CORREO ELECTRÓNICO CREADO EN

TOKEN DE ACCESO A MESA

ID ID DE USUARIO ACCESO FECHA DE VENCIMIENTO DEL TOKEN IP ÚLTIMO INICIO DE SESIÓN

Usuario Crea una cuenta con solicitud de publicación https y crea una fila en la tabla de usuarios También crea una fila con ip y token de acceso con fecha de vencimiento del token.

El token de acceso se guarda como cookie en el navegador web de los usuarios

y con cada visita a las páginas que requieren inicio de sesión o una solicitud de publicación, el token coincide con el token de acceso y la ip coincide con la ip en la pestaña del token de acceso

en caso de diferencia en ip o token caducado, los usuarios serán desconectados inmediatamente.